Uveďte podrobný popis zásad serveru pro daný vztah. Uveďte podrobný popis zásad serveru. Příkaz GPResult: diagnostika výsledných skupinových zásad. Další nastavení zabezpečení pro zásady kabelové sítě. Instalace rolí pomocí Pow

Před vývojem soketového serveru musíte vytvořit server politik, který sdělí Silverlightu, kteří klienti se mohou k soketovému serveru připojit.

Jak je ukázáno výše, Silverlight neumožňuje načítání obsahu nebo volání webové služby, pokud doména nemá clientaccesspolicy .xml nebo soubor crossdomain. xml, kde jsou tyto operace výslovně povoleny. Podobné omezení platí pro soketový server. Pokud nepovolíte klientskému zařízení stáhnout soubor .xml clientaccesspolicy, který umožňuje vzdálený přístup, Silverlight odmítne navázat spojení.

Bohužel poskytování zásad klientského přístupu. cml do aplikace soketu je větší výzvou než poskytování prostřednictvím webové stránky. Při používání webové stránky může software webového serveru poskytovat soubor .xml clientaccesspolicy, jen jej nezapomeňte přidat. Současně, když používáte aplikaci soketu, musíte otevřít soket, ke kterému mohou klientské aplikace přistupovat pomocí požadavků na zásady. Kromě toho musíte ručně vytvořit kód, který obsluhuje soket. Chcete-li provést tyto úkoly, musíte vytvořit server politik.

V následujícím si ukážeme, že server politik funguje stejným způsobem jako server zpráv, pouze zpracovává o něco jednodušší interakce. Servery zpráv a zásady lze vytvářet samostatně nebo je kombinovat v jedné aplikaci. Ve druhém případě musí naslouchat požadavkům na různá vlákna. V tomto příkladu vytvoříme server politik a poté jej zkombinujeme se serverem zpráv.

Chcete-li vytvořit server zásad, musíte nejprve vytvořit aplikaci .NET. Jakýkoli typ aplikace .NET může sloužit jako server politik. Nejjednodušší způsob je použít konzolovou aplikaci. Po odladění konzolové aplikace můžete svůj kód přesunout do služby Windows, aby po celou dobu běžela na pozadí.

Soubor zásad

Následuje soubor zásad poskytovaný serverem zásad.

Soubor zásad definuje tři pravidla.

Umožňuje přístup ke všem portům od 4502 do 4532 (toto je celá řada portů podporovaných doplňkem Silverlight). Chcete-li změnit rozsah dostupných portů, změňte hodnotu atributu port prvku.

Umožňuje TCP přístup (oprávnění je definováno v atributu protokolu prvku).

Umožňuje volání z libovolné domény. Aplikaci Silverlight, která naváže spojení, proto může hostovat jakýkoli web. Chcete-li toto pravidlo změnit, musíte upravit atribut uri prvku.

Pro usnadnění jsou pravidla zásad umístěna v souboru clientaccess-ploi.cy.xml, který je přidán do projektu. V sadě Visual Studio musí být parametr Copy to Output Directory souboru zásad nastaven na Cop Always. stačí najít soubor na pevném disku, otevřít jej a vrátit obsah do klientského zařízení.

Třída PolicyServer

Funkčnost serveru politik je založena na dvou klíčových třídách: PolicyServer a PolicyConnection. Třída PolicyServer zpracovává čekání na připojení. Když obdrží připojení, předá řízení nové instanci třídy PoicyConnection, která předá soubor zásad klientovi. Tento dvoudílný postup je běžný v síťovém programování. Při práci se servery zpráv to uvidíte více než jednou.

Třída PolicyServer načte soubor zásad z pevného disku a uloží jej do pole jako pole bajtů.

veřejná třída PolicyServer

politika soukromých bajtů;

public PolicyServer(string policyFile) (

Chcete-li začít naslouchat, musí serverová aplikace zavolat PolicyServer. Start(). Vytvoří objekt TcpListener, který naslouchá požadavkům. Objekt TcpListener je nakonfigurován tak, aby naslouchal na portu 943. V Silverlight je tento port vyhrazen pro servery politik. Při vytváření požadavků na soubory zásad je aplikace Silverlight automaticky směruje na port 943.

soukromý posluchač TcpListener;

public void Start()

// Vytvořte posluchače

posluchač = new TcpListener(IPAddress.Any, 943);

// Začněte poslouchat; metoda Start() vrací II ihned po volání listener.Start();

// Čekání na připojení; metoda se okamžitě vrátí;

II čekání se provádí v samostatném vlákně

Aby přijal nabízené připojení, server politik zavolá metodu BeginAcceptTcpClient(). Stejně jako všechny metody Beginxxx() frameworku .NET se vrací ihned po zavolání a provádí potřebné operace v samostatném vláknu. Pro síťové aplikace je to velmi významný faktor, protože umožňuje zpracovat mnoho požadavků na soubory zásad současně.

Poznámka. Začínající síťoví programátoři se často diví, jak může být zpracováno více požadavků současně, a myslí si, že to vyžaduje několik serverů. Nicméně není. S tímto přístupem by klientským aplikacím rychle došly dostupné porty. V praxi serverové aplikace zpracovávají mnoho požadavků prostřednictvím jediného portu. Tento proces je pro aplikace neviditelný, protože vestavěný subsystém TCP v systému Windows automaticky identifikuje zprávy a směruje je do příslušných objektů v kódu aplikace. Každé připojení je jednoznačně identifikováno na základě čtyř parametrů: adresa IP klienta, číslo portu klienta, adresa IP serveru a číslo portu serveru.

Při každém požadavku je aktivována metoda zpětného volání OnAcceptTcpClient(). Znovu zavolá metodu BeginAcceptTcpClient O, aby se začalo čekat na další požadavek v jiném vláknu, a poté začne zpracovávat aktuální požadavek.

public void OnAcceptTcpClient(IAsyncResult ar) (

if (isStopped) return;

Console.WriteLine("Požadavek zásad přijat."); // Čekání na další připojení.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Obsluha aktuálního připojení.

Klient TcpClient = posluchač.EndAcceptTcpClient(ar); PolicyConnection policyConnection = nové PolicyConnection(klient, politika); policyConnection.HandleRequest() ;

chytit (chyba výjimky) (

Pokaždé, když je přijato nové připojení, je vytvořen nový objekt PolicyConnection, který jej zpracovává. Kromě toho objekt PolicyConnection udržuje soubor zásad.

Poslední komponentou třídy PolicyServer je metoda Stop(), která zastavuje čekání na požadavky. Aplikace jej zavolá, když se ukončí.

private bool isStopped;

public void StopO(

isStopped = true;

posluchač. stop();

chytit (chyba výjimky) (

Console.WriteLine(err.Message);

Následující kód se používá v metodě Main() aplikačního serveru ke spuštění serveru politik.

static void Main(string args) (

PolicyServer policyServer = nový PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("Server zásad spuštěn."); Console.WriteLine("Stiskněte klávesu Enter pro ukončení.");

// Čekání na stisk klávesy; pomocí metody // Console.ReadKey() ji můžete nastavit tak, aby čekala na konkrétní // řádek (například quit) nebo stiskněte libovolnou klávesu Console.ReadLine();

policyServer.Stop();

Console.WriteLine("Ukončit server zásad.");

Třída PolicyConnection

Třída PolicyConnection provádí jednodušší úlohu. Objekt PolicyConnection ukládá odkaz na data souboru zásad. Poté, co je zavolána metoda HandleRequest(), objekt PolicyConnection načte nové připojení ze síťového proudu a pokusí se jej přečíst. Klientské zařízení musí odeslat řetězec obsahující text. Po přečtení tohoto textu klientské zařízení zapíše data zásad do streamu a uzavře spojení. Následuje kód třídy PolicyConnection.

veřejná třída PolicyConnection(

soukromý klient TcpClient; politika soukromých bajtů;

public PolicyConnection(klient TcpClient, bajtová politika) (

this.client = klient; this.policy = politika;

// Vytvoření soukromého statického řetězce požadavku klienta policyRequestString = "

public void HandleRequest()(

Stream s = client.GetStream(); // Čtení řetězce dotazu zásady

byte buffer = nový byte;

// Počkejte pouze 5 sekund client.ReceiveTimeout = 5000;'

s.Read(buffer, 0, buffer.Length);

// Předejte politiku (můžete také zkontrolovat, zda má požadavek na politiku // požadovaný obsah) s.Write(policy, 0, policy.Length);

// Zavřete připojení client.Close();

Console.WriteLine("Soubor zásad poskytován.");

Máme tedy plně funkční server zásad. Bohužel jej zatím nelze otestovat, protože doplněk Silverlight neumožňuje explicitní vyžádání souborů zásad. Místo toho je automaticky požaduje při pokusu o použití aplikace soketu. Než budete moci vytvořit klientskou aplikaci pro tuto aplikaci soketu, musíte vytvořit server.

V předchozích článcích této série jste se naučili, jak efektivně využívat funkcionalitu lokálních bezpečnostních politik, která vám umožní maximálně ochránit infrastrukturu vaší organizace před útoky nepřátel zvenčí, ale i před většinou akcí nekompetentních zaměstnanců. . Již víte, jak můžete efektivně nastavit zásady účtů, které vám umožní spravovat složitost hesel vašich uživatelů, nastavit zásady auditu pro další analýzu ověřování vašich uživatelů v protokolu zabezpečení. Kromě toho jste se naučili, jak přidělovat práva svým uživatelům, abyste nepoškodili váš systém a dokonce i počítače ve vašem intranetu, a jak můžete efektivně konfigurovat protokoly událostí, omezené skupiny, systémové služby, registr a systém souborů. V tomto článku budeme pokračovat ve studiu místních zásad zabezpečení a dozvíte se o nastavení zabezpečení kabelové sítě pro váš podnik.

Serverové operační systémy společnosti Microsoft, počínaje Windows Server 2008, zavedly komponentu Wired Network Policy (IEEE 802.3), která poskytuje automatickou konfiguraci pro nasazení služeb kabelového přístupu s ověřováním IEEE 802.1X pro síťové klienty Ethernet 802.3. K implementaci nastavení zabezpečení pro kabelové sítě pomocí zásad skupiny používají operační systémy službu Wired AutoConfig (Wired AutoConfig - DOT3SVC). Aktuální služba je zodpovědná za ověřování IEEE 802.1X při připojování k ethernetovým sítím pomocí kompatibilních přepínačů 802.1X a také spravuje profil používaný ke konfiguraci síťového klienta pro ověřený přístup. Za zmínku také stojí, že pokud používáte tyto zásady, pak je žádoucí zabránit uživatelům ve vaší doméně ve změně režimu spouštění této služby.

Konfigurace zásad kabelové sítě

Nastavení zásad kabelové sítě můžete nastavit přímo z modulu snap-in. Chcete-li nakonfigurovat tato nastavení, postupujte takto:

1. Otevřete modul snap-in a vyberte uzel ve stromu konzoly, klikněte na něj pravým tlačítkem myši a vyberte příkaz z místní nabídky "Vytvoření nové zásady kabelové sítě pro Windows Vista a novější" jak je znázorněno na následujícím obrázku:

   Rýže. 1. Vytvořte zásady kabelové sítě

2. V otevřeném dialogovém okně "Nové zásady pro vlastnosti kabelových sítí", na kartě "Jsou běžné", můžete určit použití služby Wired AutoConfig ke konfiguraci adaptérů LAN pro připojení ke kabelové síti. Kromě nastavení zásad, která se vztahují na operační systémy Windows Vista a novější, existují některá nastavení zásad, která budou platit pouze pro operační systémy Windows 7 a Windows Server 2008 R2. Na této kartě můžete provádět následující akce:
   • Název zásady. V tomto textovém poli můžete pojmenovat zásady kabelové sítě. Název zásady můžete vidět v podokně podrobností uzlu "Zásady kabelové sítě (IEEE 802.3)" snap Editor správy zásad skupiny;
   • Popis. Toto textové pole slouží k vyplnění podrobného popisu účelu zásad pevné sítě;
   • Pro klienty použijte službu Windows Wired AutoConfig. Tato možnost provede skutečnou konfiguraci a připojí klienty ke kabelové síti 802.3. Pokud tuto možnost zakážete, operační systém Windows nebude ovládat kabelové síťové připojení a nastavení zásad se neprojeví;
   • Zabránit použití sdílených uživatelských pověření pro síťové ověřování. Toto nastavení určuje, zda má být uživateli zabráněno v ukládání sdílených uživatelských pověření pro síťové ověřování. Toto nastavení můžete lokálně změnit pomocí příkazu netsh lan nastavit allowexplicitcreds;
   • Povolit období blokování. Toto nastavení určuje, zda chcete zabránit počítači v automatickém připojení ke kabelové síti po zadaný počet minut. Výchozí hodnota je 20 minut. Doba blokování je nastavitelná od 1 do 60 minut.

"Jsou běžné" zásady kabelové sítě:

Rýže. 2. Karta Obecné v dialogovém okně nastavení zásad kabelové sítě

3. Na kartě "Bezpečnost" poskytuje možnosti konfigurace pro metodu ověřování a režim kabelového připojení. Můžete nakonfigurovat následující nastavení zabezpečení:
   • Povolte ověřování IEEE 802.1X pro přístup k síti. Tato možnost se používá přímo k povolení nebo zakázání ověřování přístupu k síti 802.1X. Tato možnost je ve výchozím nastavení povolena;
   • Vyberte metodu ověření sítě. Pomocí tohoto rozevíracího seznamu můžete určit jednu z metod ověřování síťového klienta, která bude použita pro zásady vaší kabelové sítě. Na výběr jsou následující dvě možnosti:
     • Microsoft: Chráněné EAP (PEAP). U této metody ověřování je okno "Vlastnosti" obsahuje konfigurační nastavení pro metodu ověřování, která se má použít;
     • Microsoft: čipové karty nebo jiný certifikát. U této metody ověřování v okně "Vlastnosti" poskytuje možnosti konfigurace, které vám umožňují zadat čipovou kartu nebo certifikát, ke kterému se chcete připojit, a také seznam důvěryhodných kořenových CA.

   Metoda je vybrána ve výchozím nastavení Microsoft: Chráněné EAP (PEAP);

4. Režim ověřování. Tento rozevírací seznam se používá k ověření sítě. Na výběr jsou následující čtyři možnosti:
   • Ověření uživatele nebo počítače. Pokud je vybrána tato možnost, budou použity bezpečnostní pověření na základě aktuálního stavu počítače. I když není přihlášen žádný uživatel, ověření bude provedeno pomocí přihlašovacích údajů počítače. Když se uživatel přihlásí, použijí se přihlašovací údaje přihlášeného uživatele. Společnost Microsoft doporučuje používat toto nastavení režimu ověřování ve většině případů.
   • Pouze pro počítač. V tomto případě jsou ověřena pouze pověření počítače;
   • Ověření uživatele. Výběrem této možnosti vynutíte ověření uživatele pouze při připojení k novému zařízení 802.1X. Ve všech ostatních případech se ověřování provádí pouze pro počítač;
   • Autentizace hosta. Toto nastavení umožňuje připojení k síti na základě účtu hosta.
5. Maximální počet chyb ověření. Toto nastavení umožňuje určit maximální počet chyb ověřování. Výchozí hodnota je 1;
6. Ukládat uživatelská data do mezipaměti pro následná připojení k této síti. Když je toto nastavení povoleno, přihlašovací údaje uživatele budou uloženy v systémovém registru a při odhlášení a následném přihlášení uživatele nebudou vyžadovány žádné přihlašovací údaje.

Následující obrázek ukazuje záložku "Bezpečnost" toto dialogové okno:

Rýže. 3. Karta Zabezpečení v dialogovém okně Nastavení zásad kabelové sítě

Vlastnosti autentizačních režimů

Jak bylo zmíněno v předchozí části, pro oba způsoby ověřování existují další nastavení, která se vyvolávají kliknutím na tlačítko "Vlastnosti". V této části pokryjeme všechna možná nastavení metod ověřování.

Nastavení metody ověřování "Microsoft: Secure EAP (PEAP)".

EAP (Extensible Authentication Protocol, Extensible Authentication Protocol) je rozšiřitelná ověřovací infrastruktura, která definuje formát balíčku. Pro konfiguraci této metody ověřování jsou k dispozici následující možnosti:

Dialogové okno Vlastnosti zabezpečeného protokolu EAP je znázorněno na následujícím obrázku:

Rýže. 5. Dialogové okno Secure EAP Properties

Nastavení metody ověřování "Smart karta nebo jiný certifikát - nastavení EAP-TLS"

Pro konfiguraci této metody ověřování jsou k dispozici následující možnosti:

• Při připojování použít mou čipovou kartu. Nastavíte-li přepínač na tuto pozici, klienti požadující autentizaci předloží certifikát čipové karty pro síťové ověření;
• Při připojování použijte certifikát na tomto počítači. Když je vybrána tato možnost, ověření připojení klienta použije certifikát umístěný v aktuálním úložišti uživatele nebo místního počítače;
• Použijte jednoduchý výběr certifikátu. Tato možnost umožňuje operačnímu systému Windows odfiltrovat certifikáty, které nesplňují požadavky na ověření;
• Zkontrolujte certifikát serveru. Tato možnost umožňuje nastavit ověření certifikátu serveru, který je poskytnut klientským počítačům na platný podpis, jehož platnost nevypršela, a také přítomnost důvěryhodné kořenové certifikační autority, která certifikát tomuto serveru vydala.
• Připojte se k serverům. Tato možnost je totožná se stejnojmennou možností popsanou v předchozí části;
• Důvěryhodné kořenové certifikační úřady. Stejně jako v dialogovém okně vlastností zabezpečeného EAP můžete v tomto seznamu najít všechny důvěryhodné kořenové certifikační autority, které jsou nainstalovány v úložištích certifikátů uživatelů a počítačů;
• Nevyzývejte uživatele, aby autorizoval nové servery nebo důvěryhodné certifikační autority. Zaškrtnutím této volby se v případě, že existuje nesprávně nakonfigurovaný certifikát serveru nebo je uveden v seznamu pro uživatele, nezobrazí dialogové okno s výzvou k autorizaci takového certifikátu. Tato možnost je ve výchozím nastavení zakázána;
• Pro připojení použijte jiné uživatelské jméno. Toto nastavení určuje, zda se má pro ověřování použít jiné uživatelské jméno, než je uživatelské jméno v certifikátu. Když je povolena možnost použití jiného uživatelského jména, musíte vybrat alespoň jeden certifikát ze seznamu důvěryhodných kořenových CA.

Dialogové okno pro nastavení čipových karet nebo jiných certifikátů je zobrazeno na následujícím obrázku:

Rýže. 6. Dialogové okno pro nastavení čipových karet nebo jiných certifikátů

Pokud si nejste jisti vybraným certifikátem, pak kliknutím na tlačítko "Zobrazit certifikát" budou moci zobrazit všechny podrobnosti o vybraném certifikátu, jak je uvedeno níže:

Rýže. 7. Prohlédněte si certifikát ze seznamu důvěryhodných kořenových certifikačních autorit

Pokročilé možnosti zabezpečení zásad kabelového připojení

Pravděpodobně jste si toho všimli na kartě "Bezpečnost" V dialogovém okně Nastavení zásad kabelové sítě jsou k dispozici další možnosti zabezpečení pro změnu chování síťových klientů požadujících přístup pomocí ověřování 802.1X. Pokročilá nastavení zásad kabelového připojení lze rozdělit do dvou skupin – nastavení IEEE 802.1X a nastavení jednotného přihlášení. Podívejme se na každou z těchto skupin:

Ve skupině nastavení IEEE 802.1X můžete určit vlastnosti požadavků kabelové sítě s ověřováním 802.1X. Pro úpravy jsou k dispozici následující možnosti:

• Použijte pokročilá nastavení 802.1X. Tato možnost umožňuje aktivovat následující čtyři nastavení;
• Max. zprávy EAPOL. EAPOL je protokol EAP, který se používá předtím, než se počítač stihne ověřit, a teprve po úspěšném „přihlášení“ bude moci veškerý další provoz procházet portem přepínače, ke kterému je tento počítač připojen. Tento parametr řídí maximální počet odeslaných zpráv EAPOL-Start;
• Doba zpoždění (s). Toto nastavení řídí prodlevu v sekundách před provedením dalšího požadavku na ověření 802.1X po obdržení oznámení o selhání ověření;
• Počáteční období (období zahájení). Tento parametr řídí dobu čekání před opětovným odesláním po sobě jdoucích zpráv EAPOL-Start;
• Kontrolní období (s). Tento parametr určuje počet sekund mezi opakovaným přenosem po sobě jdoucích počátečních zpráv EAPOL po zahájení kontroly průchozího přístupu 802.1X;
• Zpráva EAPOL-Start. Pomocí tohoto parametru můžete určit následující charakteristiky přenosu počátečních zpráv EAPOL:
  • Nepřenášejte. Pokud je vybrána tato možnost, zprávy EAPOL nebudou přenášeny;
  • Přestoupil. Pokud je vybrána tato možnost, klient bude muset ručně odeslat počáteční zprávy EAPOL;
  • Přenos IEEE 802.1X. Pokud je vybrána tato možnost (výchozí), zprávy EAPOL se budou odesílat automaticky a čekají na spuštění ověřování 802.1X.

Při použití jednotného přihlášení musí být během procesu přihlášení uživatele k operačnímu systému provedeno ověření na základě konfigurace zabezpečení sítě. Pro úplnou konfiguraci profilů jednotného přihlášení jsou k dispozici následující možnosti:

• Povolit jednotné přihlašování pro síť. Povolením této možnosti aktivujete nastavení jednotného přihlašování;
• Povolit těsně před přihlášením uživatele. Pokud zaškrtnete tuto možnost, bude před dokončením přihlášení uživatele provedena autentizace 802.1X;
• Povolit ihned po přihlášení uživatele. Pokud zaškrtnete tuto volbu, bude po přihlášení uživatele provedena autentizace 802.1X;
• Max. zpoždění připojení. Tento parametr určuje maximální dobu, po kterou musí být autentizace dokončena, a podle toho, jak dlouho bude uživatel čekat, než se objeví okno pro přihlášení uživatele;
• Povolit zobrazení dalších dialogů v jednotném přihlášení. Toto nastavení je zodpovědné za zobrazení přihlašovacího dialogového okna uživatele;
• Tato síť používá různé sítě VLAN pro ověřování pověření počítače a uživatele. Pokud toto nastavení určíte, při spuštění se všechny počítače umístí do jedné virtuální sítě a po úspěšném přihlášení uživatele se v závislosti na oprávněních přenesou do různých virtuálních sítí. Tuto možnost má smysl aktivovat pouze v případě, že máte ve svém podniku několik sítí VLAN.

Dialogové okno rozšířeného nastavení zabezpečení zásad kabelové sítě je znázorněno na následujícím obrázku:

Rýže. Obrázek 8. Dialogové okno Zásady kabelových sítí Advanced Security Settings

Závěr

V tomto článku jste se dozvěděli o všech nastaveních zásad kabelové sítě IEE 802.1X. Naučili jste se, jak můžete vytvořit takovou zásadu, a dozvěděli jste se o metodách ověřování EAP a ověřování pomocí čipových karet nebo jiných certifikátů. V dalším článku se dozvíte o místních zásadách zabezpečení Network List Manager.

Zásady v Exchange Server 2003 jsou navrženy tak, aby zvýšily flexibilitu správy a zároveň snížily zátěž správců. Zásada je sada konfiguračních nastavení, která se vztahují na jeden nebo více objektů stejné třídy na serveru Exchange. Můžete například vytvořit zásadu, která ovlivní určitá nastavení na některých nebo všech serverech Exchange. Pokud potřebujete změnit tato nastavení, pak stačí upravit tuto zásadu a bude aplikována na příslušnou serverovou organizaci.

Existují dva typy zásad: systémové zásady a zásady pro příjemce. Zásady příjemce se vztahují na objekty pro přístup k poště a určují způsob generování e-mailových adres. Zásady pro příjemce jsou popsány v části „Vytváření a správa příjemců“. Systémové zásady se vztahují na servery, úložiště poštovních schránek a úložiště veřejných složek. Tyto zásady se zobrazí v kontejneru Zásady v rámci skupiny odpovědné za správa tuto politiku (obrázek 12.10).

Rýže. 12.10. Objekt systémových zásad

Poznámka. Instalace Exchange Server 2003 nevytváří výchozí kontejner pro systémové zásady. Musí být vytvořen před vytvořením systémových zásad. Klepněte pravým tlačítkem myši na skupinu pro správu, ve které chcete vytvořit složku zásad, najeďte myší na Nový a vyberte Kontejner systémových zásad.

Vytvořte systémové zásady

Chcete-li vytvořit systémovou zásadu, přejděte do příslušného kontejneru Systémové zásady, klikněte pravým tlačítkem na kontejner a poté vyberte typ zásady, kterou chcete vytvořit: zásady serveru, zásady úložiště poštovních schránek nebo zásady úložiště veřejných složek.

Při práci se systémovými zásadami se ujistěte, že jste vytvořili objekt zásad ve skupině, která je zodpovědná za správu této zásady. V opačném případě může dojít k chybě při výběru osob, které vykonávají administrativní kontrolu nad kritickými zásadami. Podívejme se, jak se vytváří každý ze tří typů zásad, počínaje zásadami serveru.

Vytvořte zásady serveru

Zásady serveru definují nastavení pro sledování zpráv a údržbu souborů protokolu. Nevztahuje se na nastavení zabezpečení nebo jiná nastavení serverů v této administrativní skupině. Chcete-li vytvořit zásady serveru, klepněte pravým tlačítkem myši na kontejner Systémové zásady, přejděte na příkaz Nový a vyberte možnost Zásady serveru. Zobrazí se dialogové okno New Policy (Nová zásada), jak je znázorněno na obrázku 1. 12.11 , který určuje karty, které se zobrazí na stránce vlastností zásady. Pro zásady serveru existuje pouze jedna možnost: karta Obecné. Zaškrtněte volbu pro tuto kartu a poté klepněte na OK. Zobrazí se konfigurační okno, ve kterém bude vytvořena politika.

Poté musíte zadat název zásady v okně karty Obecné na stránce vlastností zásady. Jak ukazuje obrázek 12.12, ve skutečnosti existují dvě karty Obecné. První záložka slouží k zadání názvu zásady. Vyberte název popisující úlohu, kterou má tato zásada provádět, například Zásady sledování zpráv nebo Povolit zásady protokolování předmětů. Vhodný název zvolený v této fázi ušetří čas, protože nebude nutné otevírat stránku vlastností zásady k určení jejího účelu.

Záložka Obecné (Zásady) zobrazená na Obr. 12.13 obsahuje aktuální nastavení zásad aplikované na servery Exchange příslušné organizace. Karta se nazývá Obecné (zásady), protože potenciálně konfiguruje kartu Obecné na stránkách vlastností pro všechny dostupné servery. (Později v této kapitole uvidíme, jak použít tuto zásadu na všechny servery v organizaci.) Pokud porovnáte tuto kartu s kartou Obecné na stránce vlastností serveru, uvidíte, že karty jsou stejné kromě identifikační údaje v horní části záložky.

Záložka Obecné (Zásady) umožňuje protokolování a povolení protokolování a zobrazení předmětu pro všechny existující servery Exchange 2003. Toto nastavení funguje ve spojení s možností Povolit sledování zpráv, která umožňuje sledovat zprávy odeslané v organizaci. Tyto možnosti jsou užitečné pro odstraňování problémů se zdrojem problémů, ke kterým dochází, když někteří uživatelé nedostávají zprávy od jiných uživatelů. Je možné sledovat průchod zprávy organizací a určit, kde jsou problémy s přenosem dat. Další informace o sledování zpráv a protokolování předmětu zprávy naleznete v kapitole 6, Funkce, zabezpečení a podpora Exchange Server 2003.

Jakmile zásada vstoupí v platnost, nelze ji změnit na úrovni místního serveru. Zásada sledování zpráv, kterou jsme použili jako příklad, byla vygenerována na serveru EX-SRV1 ve skupině Arizona admin. Na

Funkčnost v operačním systému Windows Server se počítá a zlepšuje od verze k verzi, rolí a komponent přibývá, proto se v dnešním článku pokusím stručně popsat popis a účel každé role v systému Windows Server 2016.

Než přejdeme k popisu rolí serveru Windows Server, pojďme zjistit, co přesně je " Role serveru» v operačním systému Windows Server.

Co je to „role serveru“ v systému Windows Server?

Role serveru- jedná se o softwarový balík, který zajišťuje výkon určité funkce serveru a tato funkce je hlavní. Jinými slovy, " Role serveru' je cíl serveru, tj. k čemu to je. Aby server mohl plnit svou hlavní funkci, tzn. určitou roli v Role serveru» obsahuje veškerý potřebný software ( programy, služby).

Server může mít jednu roli, pokud je aktivně používán, nebo několik, pokud každá z nich příliš nezatěžuje server a používá se zřídka.

Role serveru může zahrnovat více služeb rolí, které poskytují funkce role. Například v roli serveru " webový server (IIS)“ zahrnuje poměrně velký počet služeb a role “ DNS server» nezahrnuje služby rolí, protože tato role plní pouze jednu funkci.

Služby rolí lze nainstalovat všechny dohromady nebo jednotlivě, v závislosti na vašich potřebách. Instalace role v podstatě znamená instalaci jedné nebo více jejích služeb.

Windows Server má také " Komponenty»server.

Komponenty serveru (funkce) jsou softwarové nástroje, které nejsou rolí serveru, ale rozšiřují možnosti jedné nebo více rolí nebo spravují jednu nebo více rolí.

Některé role nelze nainstalovat, pokud server nemá požadované služby nebo komponenty, které jsou vyžadovány pro fungování rolí. Proto v době instalace takových rolí " Průvodce přidáním rolí a funkcí» vás automaticky vyzve k instalaci nezbytných doplňkových služeb rolí nebo komponent.

Popis rolí serveru Windows Server 2016

Pravděpodobně již znáte mnoho rolí, které jsou v systému Windows Server 2016, protože existují již nějakou dobu, ale jak jsem řekl, s každou novou verzí systému Windows Server se přidávají nové role, se kterými jste možná nepracovali. s, ale rádi bychom věděli, k čemu jsou, tak se na ně pojďme podívat.

Poznámka! O nových funkcích operačního systému Windows Server 2016 si můžete přečíst v materiálu "Instalace Windows Server 2016 a přehled nových funkcí".

Protože k instalaci a správě rolí, služeb a komponent velmi často dochází pomocí Windows PowerShell, uvedu pro každou roli a její službu název, který lze v PowerShellu použít pro její instalaci nebo pro správu.

DHCP server

Tato role vám umožňuje centrálně konfigurovat dynamické IP adresy a související nastavení pro počítače a zařízení ve vaší síti. Role DHCP Server nemá služby rolí.

Název prostředí Windows PowerShell je DHCP.

DNS server

Tato role je určena pro překlad názvů v sítích TCP/IP. Role DNS Server poskytuje a udržuje DNS. Aby se zjednodušila správa serveru DNS, je obvykle nainstalován na stejném serveru jako Active Directory Domain Services. Role DNS Server nemá služby rolí.

Název role pro PowerShell je DNS.

Hyper-V

S rolí Hyper-V můžete vytvářet a spravovat virtualizované prostředí. Jinými slovy, je to nástroj pro vytváření a správu virtuálních strojů.

Název role pro Windows PowerShell je Hyper-V.

Osvědčení o stavu zařízení

Role" » umožňuje vyhodnotit zdravotní stav zařízení na základě naměřených indikátorů bezpečnostních parametrů, jako jsou indikátory stavu bezpečného bootování a Bitlocker na klientovi.

Pro fungování této role je zapotřebí mnoho služeb a komponent rolí, například: několik služeb z role " webový server (IIS)", komponent " ", komponent " Funkce rozhraní .NET Framework 4.6».

Během instalace budou automaticky vybrány všechny požadované služby rolí a funkce. Role " Osvědčení o stavu zařízení» Neexistují žádné služby rolí.

Název pro PowerShell je DeviceHealthAttestationService.

webový server (IIS)

Poskytuje spolehlivou, spravovatelnou a škálovatelnou infrastrukturu webových aplikací. Skládá se z poměrně velkého počtu služeb (43).

Název prostředí Windows PowerShell je Web-Server.

Zahrnuje následující služby rolí ( v závorkách uvedu název prostředí Windows PowerShell):

Webový server (Web-WebServer)- Skupina služeb rolí, která poskytuje podporu pro webové stránky HTML, rozšíření ASP.NET, ASP a webový server. Skládá se z následujících služeb:

• Zabezpečení (Web Security)- soubor služeb pro zajištění bezpečnosti webového serveru.
  • Filtrování požadavků (Web-Filtering) - pomocí těchto nástrojů můžete zpracovávat všechny požadavky přicházející na server a filtrovat tyto požadavky na základě speciálních pravidel nastavených správcem webového serveru;
  • Omezení IP adresy a domény (Web-IP-Security) – tyto nástroje umožňují povolit nebo zakázat přístup k obsahu na webovém serveru na základě IP adresy nebo názvu domény zdroje v požadavku;
  • URL Authorization (Web-Url-Auth) – nástroje umožňují vyvinout pravidla pro omezení přístupu k webovému obsahu a přidružit je k uživatelům, skupinám nebo příkazům HTTP hlaviček;
  • Digest Authentication (Web-Digest-Auth) – Tato autentizace poskytuje vyšší úroveň zabezpečení než základní autentizace. Ověřování algoritmem pro ověřování uživatelů funguje jako předání hash hesla do řadiče domény Windows;
  • Basic Authentication (Web-Basic-Auth) – Tato metoda ověřování poskytuje silnou kompatibilitu webového prohlížeče. Doporučuje se používat v malých vnitřních sítích. Hlavní nevýhodou této metody je, že hesla přenášená po síti lze poměrně snadno zachytit a dešifrovat, proto tuto metodu používejte v kombinaci s SSL;
  • Ověřování Windows (Web-Windows-Auth) je ověřování založené na ověřování domény Windows. Jinými slovy, účty služby Active Directory můžete používat k ověřování uživatelů svých webových stránek;
  • Ověření mapování klientského certifikátu (Web-Client-Auth) – Tato metoda ověřování používá klientský certifikát. Tento typ využívá služby Active Directory k poskytování mapování certifikátů;
  • IIS Client Certificate Mapping Authentication (Web-Cert-Auth) – Tato metoda také používá klientské certifikáty pro ověřování, ale k poskytování mapování certifikátů používá IIS. Tento typ poskytuje lepší výkon;
  • Centralizovaná podpora SSL certifikátů (Web-CertProvider) - tyto nástroje umožňují centrálně spravovat certifikáty SSL serveru, což značně zjednodušuje proces správy těchto certifikátů;
• Servisnost a diagnostika (Web-Health)– sada služeb pro monitorování, správu a odstraňování problémů webových serverů, stránek a aplikací:
  • http logging (Web-Http-Logging) - nástroje zajišťují logování aktivity webu na daném serveru, tzn. záznam protokolu;
  • Protokolování ODBC (Web-ODBC-Logging) – Tyto nástroje také poskytují protokolování aktivity webu, ale podporují protokolování této aktivity do databáze vyhovující ODBC;
  • Monitor požadavků (Web-Request-Monitor) je nástroj, který umožňuje sledovat stav webové aplikace zachycováním informací o požadavcích HTTP v pracovním procesu služby IIS;
  • Vlastní protokolování (Web-Custom-Logging) – Pomocí těchto nástrojů můžete nakonfigurovat protokolování aktivity webového serveru ve formátu, který se výrazně liší od standardního formátu IIS. Jinými slovy, můžete si vytvořit svůj vlastní logovací modul;
  • Nástroje pro protokolování (Web-Log-Libraries) jsou nástroje pro správu protokolů webového serveru a automatizaci úloh protokolování;
  • Trasování (Web-Http-Tracing) je nástroj pro diagnostiku a řešení porušení ve webových aplikacích.
• http Společné funkce (Web-Common-Http)– sada služeb, které poskytují základní funkčnost HTTP:
  • Výchozí dokument (Web-Default-Doc) – Tato funkce umožňuje nakonfigurovat webový server tak, aby vrátil výchozí dokument, když uživatelé neurčí konkrétní dokument v adrese URL požadavku, což uživatelům usnadňuje přístup k webu, například doména, bez určení souboru;
  • Procházení adresářů (Web-Dir-Browsing) – Tento nástroj lze použít ke konfiguraci webového serveru tak, aby uživatelé mohli zobrazit seznam všech adresářů a souborů na webu. Například pro případy, kdy uživatelé neurčí soubor v URL požadavku a výchozí dokumenty jsou buď zakázány, nebo nejsou nakonfigurovány;
  • http chyby (Web-Http-Errors) – tato funkce umožňuje konfigurovat chybové zprávy, které budou vráceny do webových prohlížečů uživatelů, když webový server zjistí chybu. Tento nástroj se používá ke snadnějšímu zobrazování chybových zpráv uživatelům;
  • Statický obsah (Web-Static-Content) – tento nástroj umožňuje používat obsah na webovém serveru ve formě statických formátů souborů, jako jsou soubory HTML nebo soubory obrázků;
  • http redirect (Web-Http-Redirect) - pomocí této funkce můžete přesměrovat požadavek uživatele na konkrétní cíl, tzn. toto je přesměrování;
  • Publikování WebDAV (Web-DAV-Publishing) - umožňuje používat technologii WebDAV na webovém serveru IIS. WebDAV ( Webové distribuované vytváření a verzování) je technologie, která uživatelům umožňuje spolupracovat ( číst, upravovat, číst vlastnosti, kopírovat, přesouvat) přes soubory na vzdálených webových serverech pomocí protokolu HTTP.
• Výkon (výkon webu)- sada služeb pro dosažení vyššího výkonu webového serveru prostřednictvím ukládání do mezipaměti výstupu a běžných kompresních mechanismů, jako jsou Gzip a Deflate:
  • Statická komprese obsahu (Web-Stat-Compression) je nástroj pro přizpůsobení komprese statického obsahu http, umožňuje efektivnější využití šířky pásma a přitom bez zbytečného zatížení CPU;
  • Dynamická komprese obsahu (Web-Dyn-Compression) je nástroj pro konfiguraci komprese dynamického obsahu HTTP. Tento nástroj poskytuje efektivnější využití šířky pásma, ale v tomto případě může zatížení CPU serveru spojené s dynamickou kompresí zpomalit web, pokud je zatížení CPU vysoké i bez komprese.
• Vývoj aplikací (Web-App-Dev)- soubor služeb a nástrojů pro vývoj a hostování webových aplikací, jinými slovy, technologie pro vývoj webových stránek:
  • ASP (Web-ASP) je prostředí pro podporu a vývoj webových stránek a webových aplikací využívajících technologii ASP. V současné době existuje novější a pokročilejší technologie pro vývoj webových stránek - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) je objektově orientované vývojové prostředí pro webové stránky a webové aplikace využívající technologii ASP.NET;
  • ASP.NET 4.6 (Web-Asp-Net45) je také objektově orientované vývojové prostředí pro webové stránky a webové aplikace využívající novou verzi ASP.NET;
  • CGI (Web-CGI) je schopnost používat CGI k předávání informací z webového serveru do externího programu. CGI je druh standardu rozhraní pro připojení externího programu k webovému serveru. Nevýhodou je, že použití CGI ovlivňuje výkon;
  • Server Side Inclusions (SSI) (Web-Includes) je podpora pro skriptovací jazyk SSI ( povolit na straně serveru), který se používá k dynamickému generování HTML stránek;
  • Inicializace aplikace (Web-AppInit) - tento nástroj provádí úkoly inicializace webových aplikací před odesláním webové stránky;
  • Protokol WebSocket (Web-WebSockets) – přidává možnost vytvářet serverové aplikace, které komunikují pomocí protokolu WebSocket. WebSocket je protokol, který dokáže odesílat a přijímat data současně mezi prohlížečem a webovým serverem přes TCP spojení, jakési rozšíření protokolu HTTP;
  • Rozšíření ISAPI (Web-ISAPI-Ext) - podpora dynamického rozvoje webového obsahu pomocí aplikačního programovacího rozhraní ISAPI. ISAPI je rozhraní API pro webový server IIS. Aplikace ISAPI jsou mnohem rychlejší než soubory ASP nebo soubory, které volají součásti COM+;
  • Rozšiřitelnost .NET 3.5 (Web-Net-Ext) je funkce rozšiřitelnosti .NET 3.5, která vám umožňuje upravovat, přidávat a rozšiřovat funkčnost webového serveru v rámci procesu zpracování požadavků, konfigurace a uživatelského rozhraní;
  • Rozšiřitelnost .NET 4.6 (Web-Net-Ext45) je funkce rozšiřitelnosti .NET 4.6, která vám také umožňuje upravovat, přidávat a rozšiřovat funkčnost webového serveru v rámci celého kanálu zpracování požadavků, konfigurace a uživatelského rozhraní;
  • Filtry ISAPI (Web-ISAPI-Filter) – Přidejte podporu pro filtry ISAPI. Filtry ISAPI jsou programy, které jsou volány, když webový server obdrží konkrétní požadavek HTTP, který má být zpracován tímto filtrem.

FTP - server (Web-Ftp-Server)– služby, které poskytují podporu protokolu FTP. Podrobněji jsme o FTP serveru hovořili v materiálu - "Instalace a konfigurace FTP serveru na Windows Server 2016". Obsahuje následující služby:

• Služba FTP (Web-Ftp-Service) - přidává podporu protokolu FTP na webovém serveru;
• Rozšiřitelnost FTP (Web-Ftp-Ext) – rozšiřuje standardní možnosti FTP, jako je přidání podpory pro funkce, jako jsou vlastní poskytovatelé, uživatelé ASP.NET nebo uživatelé správce IIS.

Nástroje pro správu (Web-Mgmt-Tools) jsou nástroje pro správu webového serveru IIS 10. Patří mezi ně: uživatelské rozhraní služby IIS, nástroje příkazového řádku a skripty.

• IIS Management Console (Web-Mgmt-Console) je uživatelské rozhraní pro správu IIS;
• Znakové sady a nástroje pro správu IIS (Web-Scripting-Tools) jsou nástroje a skripty pro správu IIS pomocí příkazového řádku nebo skriptů. Lze je použít například k automatizaci řízení;
• Služba správy (Web-Mgmt-Service) – tato služba přidává možnost vzdálené správy webového serveru z jiného počítače pomocí Správce IIS;
• Správa kompatibility služby IIS 6 (Web-Mgmt-Compat) – Poskytuje kompatibilitu pro aplikace a skripty, které používají dvě rozhraní API služby IIS. Stávající skripty IIS 6 lze použít ke správě webového serveru IIS 10:
  • IIS 6 Compatibility Metabase (Web-Metabase) je nástroj pro kompatibilitu, který umožňuje spouštět aplikace a znakové sady, které byly migrovány z dřívějších verzí IIS;
  • Skriptovací nástroje IIS 6 (Web-Lgcy-Scripting) – Tyto nástroje umožňují používat stejné skriptovací služby IIS 6, které byly vytvořeny pro správu IIS 6 ve službě IIS 10;
  • IIS 6 Management Console (Web-Lgcy-Mgmt-Console) je nástroj pro správu vzdálených serverů IIS 6.0;
  • IIS 6 WMI Compatibility (Web-WMI) jsou skriptovací rozhraní Windows Management Instrumentation (WMI) pro programové řízení a automatizaci úloh webového serveru IIS 10.0 pomocí sady skriptů vytvořených u poskytovatele WMI.

Active Directory Domain Services

Role" Active Directory Domain Services» (AD DS) poskytuje distribuovanou databázi, která ukládá a zpracovává informace o síťových zdrojích. Tato role se používá k uspořádání síťových prvků, jako jsou uživatelé, počítače a další zařízení, do hierarchické zadržovací struktury. Hierarchická struktura zahrnuje doménové struktury, domény v rámci doménové struktury a organizační jednotky (OU) v rámci každé domény. Server se službou AD DS se nazývá řadič domény.

Název role pro Windows PowerShell je AD-Domain-Services.

Režim Windows Server Essentials

Tato role je počítačová infrastruktura a poskytuje pohodlné a efektivní funkce, například: ukládání klientských dat na centralizovaném místě a ochranu těchto dat zálohováním serverových a klientských počítačů, vzdálený webový přístup, který umožňuje přístup k datům prakticky z jakéhokoli zařízení . Tato role vyžaduje několik služeb a funkcí rolí, například: Funkce BranchCache, Zálohování serveru Windows, Správa zásad skupiny, Služba rolí " Jmenné prostory DFS».

Název pro PowerShell je ServerEssentialsRole.

Síťový ovladač

Tato role zavedená v systému Windows Server 2016 poskytuje jediný bod automatizace pro správu, monitorování a diagnostiku fyzické a virtuální síťové infrastruktury v datovém centru. Pomocí této role můžete z jednoho místa konfigurovat IP podsítě, VLAN, fyzické síťové adaptéry hostitelů Hyper-V, spravovat virtuální přepínače, fyzické routery, nastavení firewallu a VPN brány.

Název prostředí Windows PowerShell je NetworkController.

Služba Node Guardian

Toto je role serveru Hosted Guardian Service (HGS) a poskytuje služby atestace a ochrany klíčů, které umožňují chráněným hostitelům spouštět stíněné virtuální stroje. Pro fungování této role je vyžadováno několik dalších rolí a komponent, například: Active Directory Domain Services, Web Server (IIS), Clusterování při selhání" a další.

Název pro PowerShell je HostGuardianServiceRole.

Active Directory Lightweight Directory Services

Role" Active Directory Lightweight Directory Services» (AD LDS) je odlehčená verze služby AD DS, která má méně funkcí, ale nevyžaduje nasazení domén nebo řadičů domény a nemá závislosti a omezení domény vyžadované službou AD DS. Služba AD LDS běží přes protokol LDAP ( Lightweight Directory Access Protocol). Můžete nasadit více instancí služby AD LDS na stejný server s nezávisle spravovanými schématy.

Název pro PowerShell je ADLDS.

Služby MultiPoint

Je to také nová role, která je nová ve Windows Server 2016. MultiPoint Services (MPS) poskytuje základní funkce vzdálené plochy, která umožňuje více uživatelům pracovat současně a nezávisle na stejném počítači. Chcete-li nainstalovat a provozovat tuto roli, musíte nainstalovat několik dalších služeb a komponent, například: Print Server, Windows Search Service, XPS Viewer a další, které budou všechny automaticky vybrány během instalace MPS.

Název role pro PowerShell je MultiPointServerRole.

Windows Server Update Services

S touto rolí (WSUS) mohou správci systému spravovat aktualizace společnosti Microsoft. Můžete například vytvořit samostatné skupiny počítačů pro různé sady aktualizací a také přijímat zprávy o souladu počítačů s požadavky a aktualizacemi, které je třeba nainstalovat. Pro fungování" Windows Server Update Services» Potřebujete takové služby rolí a komponenty jako: Webový server (IIS), interní databáze Windows, služba aktivace procesů Windows.

Název prostředí Windows PowerShell je UpdateServices.

• Připojení WID (UpdateServices-WidDB) – nastavte na WID ( Interní databáze Windows) databáze používaná službou WSUS. Jinými slovy, WSUS bude ukládat svá servisní data do WID;
• Služby WSUS (UpdateServices-Services) jsou služby role WSUS, jako je aktualizační služba, webová služba pro vytváření sestav, webová služba API Remoting, webová služba klienta, webová služba jednoduchého ověřování webu, služba synchronizace serveru a webová služba ověřování DSS;
• SQL Server Connectivity (UpdateServices-DB) je instalace součásti, která umožňuje službě WSUS připojit se k databázi Microsoft SQL Server. Tato možnost umožňuje ukládání servisních dat v databázi Microsoft SQL Server. V tomto případě již musíte mít nainstalovanou alespoň jednu instanci SQL Server.

Multilicenční aktivační služby

S touto rolí serveru můžete automatizovat a zjednodušit vydávání multilicence pro software od společnosti Microsoft a také vám umožňuje tyto licence spravovat.

Název pro PowerShell je VolumeActivation.

Tiskové a dokumentové služby

Tato role serveru je navržena pro sdílení tiskáren a skenerů v síti, pro centrální konfiguraci a správu tiskových a skenovacích serverů a pro správu síťových tiskáren a skenerů. Služby tisku a dokumentů také umožňují odesílat naskenované dokumenty e-mailem, do sdílených síťových složek nebo na weby služby Windows SharePoint Services.

Název pro PowerShell je Print-Services.

• Tiskový server (tiskový server) – Tato služba role zahrnuje „ Správa tisku“, který se používá ke správě tiskáren nebo tiskových serverů a také k migraci tiskáren a dalších tiskových serverů;
• Tisk přes internet (Print-Internet) – Pro implementaci tisku přes internet je vytvořena webová stránka, pomocí které mohou uživatelé spravovat tiskové úlohy na serveru. Aby tato služba fungovala, jak víte, musíte nainstalovat " webový server (IIS)". Všechny požadované součásti budou vybrány automaticky, když zaškrtnete toto políčko během procesu instalace služby role " Internetový tisk»;
• Distribuovaný skenovací server (Print-Scan-Server) je služba, která umožňuje přijímat naskenované dokumenty ze síťových skenerů a odesílat je na místo určení. Tato služba také obsahuje „ Správa skenování“, který se používá ke správě síťových skenerů a ke konfiguraci skenování;
• Služba LPD (Print-LPD-Service) – služba LPD ( Démon řádkové tiskárny) umožňuje počítačům se systémem UNIX a dalším počítačům využívajícím službu Line Printer Remote (LPR) tisknout na sdílené tiskárny serveru.

Síťová politika a přístupové služby

Role" » (NPAS) umožňuje serveru NPS (Network Policy Server) nastavit a vynutit přístup k síti, autentizaci a autorizaci a zásady stavu klienta, jinými slovy zabezpečit síť.

Název prostředí Windows PowerShell je NPAS.

Windows Deployment Services

Pomocí této role můžete vzdáleně instalovat operační systém Windows přes síť.

Název role pro PowerShell je WDS.

• Deployment Server (WDS-Deployment) – tato služba role je určena pro vzdálené nasazení a konfiguraci operačních systémů Windows. Umožňuje také vytvářet a upravovat obrázky pro opětovné použití;
• Transport Server (WDS-Transport) – Tato služba obsahuje základní síťové komponenty, pomocí kterých můžete přenášet data multicastingem na samostatném serveru.

Certifikační služba Active Directory

Tato role je určena k vytváření certifikačních autorit a souvisejících služeb rolí, které vám umožňují vydávat a spravovat certifikáty pro různé aplikace.

Název pro Windows PowerShell je AD-Certificate.

Zahrnuje následující služby rolí:

• Certifikační autorita (ADCS-Cert-Authority) – pomocí této služby role můžete vydávat certifikáty uživatelům, počítačům a službám a také spravovat platnost certifikátu;
• Webová služba Zásady zápisu certifikátu (ADCS-Enroll-Web-Pol) – Tato služba umožňuje uživatelům a počítačům získat informace o zásadách zápisu certifikátů z webového prohlížeče, i když počítač není členem domény. Pro jeho fungování je to nutné webový server (IIS)»;
• Certifikát Enrollment Web Service (ADCS-Enroll-Web-Svc) – Tato služba umožňuje uživatelům a počítačům registrovat a obnovovat certifikáty pomocí webového prohlížeče přes HTTPS, i když počítač není členem domény. Musí také fungovat webový server (IIS)»;
• Online respondér (ADCS-Online-Cert) - Služba je určena pro kontrolu zneplatnění certifikátu pro klienty. Jinými slovy, přijme žádost o stav odvolání pro konkrétní certifikáty, vyhodnotí stav těchto certifikátů a odešle zpět podepsanou odpověď s informacemi o stavu. Aby služba fungovala, je to nutné webový server (IIS)»;
• Služba webového zápisu certifikační autority (ADCS-Web-Enrollment) – Tato služba poskytuje uživatelům webové rozhraní k provádění úkolů, jako je vyžadování a obnova certifikátů, získávání CRL a registrace certifikátů čipových karet. Aby služba fungovala, je to nutné webový server (IIS)»;
• Služba Network Device Enrollment (ADCS-Device-Enrollment) – Pomocí této služby můžete vydávat a spravovat certifikáty pro směrovače a další síťová zařízení, která nemají síťové účty. Aby služba fungovala, je to nutné webový server (IIS)».

Služby vzdálené plochy

Role serveru, kterou lze použít k poskytování přístupu k virtuálním plochám, plochám založeným na relacích a aplikacím RemoteApp.

Název role pro Windows PowerShell je Remote-Desktop-Services.

Skládá se z následujících služeb:

• Webový přístup ke vzdálené ploše (RDS-Web-Access) – Tato služba role umožňuje uživatelům přistupovat ke vzdáleným plochám a aplikacím RemoteApp prostřednictvím „ Start» nebo pomocí webového prohlížeče;
• Licencování vzdálené plochy (RDS-Licensing) – Služba je navržena ke správě licencí, které jsou nutné pro připojení k serveru Hostitel relací vzdálené plochy nebo virtuální ploše. Lze jej použít k instalaci, vydávání licencí a sledování jejich dostupnosti. Tato služba vyžaduje " webový server (IIS)»;
• Zprostředkovatel připojení ke vzdálené ploše (RDS-Connection-Broker) je služba role, která poskytuje následující možnosti: opětovné připojení uživatele ke stávající virtuální ploše, aplikaci RemoteApp a ploše založené na relaci a také vyrovnávání zátěže mezi servery vzdálených hostitelských serverů. nebo mezi sdruženými virtuálními desktopy. Tato služba vyžaduje „ »;
• Hostitel virtualizace vzdálené plochy (DS-Virtualization) – Služba umožňuje uživatelům připojit se k virtuálním plochám pomocí RemoteApp and Desktop Connection. Tato služba funguje ve spojení s Hyper-V, tzn. tato role musí být nainstalována;
• Hostitel relací vzdálené plochy (RDS-RD-Server) – Tato služba může hostovat aplikace RemoteApp a plochy založené na relacích na serveru. Přístup je prostřednictvím klienta Připojení ke vzdálené ploše nebo RemoteApps;
• Brána vzdálené plochy (RDS-Gateway) – Služba umožňuje autorizovaným vzdáleným uživatelům připojit se k virtuálním plochám, aplikacím RemoteApp a plochám založeným na relacích v podnikové síti nebo přes Internet. Tato služba vyžaduje následující doplňkové služby a součásti: webový server (IIS)», « Síťová politika a přístupové služby», « RPC přes HTTP proxy».

AD RMS

Toto je role serveru, která vám umožní chránit informace před neoprávněným použitím. Ověřuje totožnost uživatelů a uděluje licence oprávněným uživatelům pro přístup k chráněným datům. Tato role vyžaduje další služby a komponenty: webový server (IIS)», « Služba aktivace procesů systému Windows», « Funkce rozhraní .NET Framework 4.6».

Název prostředí Windows PowerShell je ADRMS.

• Active Directory Rights Management Server (ADRMS-Server) – služba hlavní role, nutná pro instalaci;
• Podpora federace identit (ADRMS-Identity) je volitelná služba rolí, která umožňuje federovaným identitám využívat chráněný obsah pomocí služby Active Directory Federation Services.

AD FS

Tato role poskytuje webům pomocí prohlížeče zjednodušenou a zabezpečenou federaci identit a funkci jednotného přihlašování (SSO).

Název pro PowerShell je ADFS-Federation.

Vzdálený přístup

Tato role poskytuje konektivitu prostřednictvím DirectAccess, VPN a proxy webové aplikace. Také role Vzdálený přístup"poskytuje tradiční možnosti směrování, včetně překladu síťových adres (NAT) a dalších možností připojení. Tato role vyžaduje další služby a funkce: webový server (IIS)», « Interní databáze Windows».

Název role pro Windows PowerShell je RemoteAccess.

• DirectAccess a VPN (RAS) (DirectAccess-VPN) - služba umožňuje uživatelům kdykoli se připojit k podnikové síti s přístupem k internetu prostřednictvím DirectAccess a také organizovat připojení VPN v kombinaci s technologiemi tunelování a šifrování dat;
• Směrování (Routing) - služba poskytuje podporu pro NAT routery, LAN routery s protokoly BGP, RIP protokoly a routery s podporou multicastu (IGMP proxy);
• Web Application Proxy (Web-Application-Proxy) - Služba umožňuje publikovat aplikace založené na protokolech HTTP a HTTPS z podnikové sítě na klientská zařízení, která jsou mimo podnikovou síť.

Souborové a úložné služby

Toto je role serveru, kterou lze použít ke sdílení souborů a složek, správě a řízení sdílených složek, replikaci souborů, poskytování rychlého vyhledávání souborů a udělování přístupu ke klientským počítačům UNIX. Souborovým službám a zejména souborovému serveru jsme se podrobněji věnovali v materiálu „Instalace souborového serveru (File Server) na Windows Server 2016“.

Název prostředí Windows PowerShell je FileAndStorage-Services.

Skladovací služby- Tato služba poskytuje funkci správy úložiště, která je vždy nainstalována a nelze ji odebrat.

Souborové služby a služby iSCSI (souborové služby) jsou technologie, které zjednodušují správu souborových serverů a úložišť, šetří místo na disku, umožňují replikaci a ukládání souborů do mezipaměti v pobočkách a také umožňují sdílení souborů prostřednictvím protokolu NFS. Zahrnuje následující služby rolí:

• Souborový server (FS-FileServer) – služba role, která spravuje sdílené složky a poskytuje uživatelům přístup k souborům na tomto počítači přes síť;
• Deduplikace dat (FS-Data-Deduplication) – tato služba šetří místo na disku tím, že na svazek ukládá pouze jednu kopii identických dat;
• Správce prostředků souborového serveru (FS-Resource-Manager) – pomocí této služby můžete spravovat soubory a složky na souborovém serveru, vytvářet sestavy úložiště, klasifikovat soubory a složky, konfigurovat kvóty složek a definovat zásady blokování souborů;
• iSCSI Target Storage Provider (VDS a poskytovatelé hardwaru VSS) (iSCSITarget-VSS-VDS) – Služba umožňuje aplikacím na serveru připojeném k cíli iSCSI využívat svazky stínových kopií na virtuálních discích iSCSI;
• Jmenné prostory DFS (FS-DFS-Namespace) - pomocí této služby můžete seskupit sdílené složky hostované na různých serverech do jednoho nebo více logicky strukturovaných jmenných prostorů;
• Pracovní složky (FS-SyncShareService) – služba umožňuje používat pracovní soubory na různých počítačích, včetně pracovních a osobních. Soubory můžete ukládat do pracovních složek, synchronizovat je a přistupovat k nim z místní sítě nebo internetu. Aby služba fungovala, komponenta " IIS In-Process Web Core»;
• Replikace distribuovaného systému souborů (FS-DFS-Replication) je modul replikace dat na více serverech, který umožňuje synchronizovat složky přes připojení LAN nebo WAN. Tato technologie používá protokol Remote Differential Compression (RDC) k aktualizaci pouze části souborů, které se od poslední replikace změnily. Replikaci DFS lze použít s obory názvů DFS nebo bez nich;
• Server pro NFS (FS-NFS-Service) – Služba umožňuje tomuto počítači sdílet soubory s počítači se systémem UNIX a dalšími počítači, které používají protokol NFS (Network File System);
• iSCSI Target Server (FS-iSCSITarget-Server) – poskytuje služby a správu pro cíle iSCSI;
• Služba BranchCache pro síťové soubory (FS-BranchCache) – Služba poskytuje podporu BranchCache na tomto souborovém serveru;
• Služba File Server VSS Agent (FS-VSS-Agent) – Služba umožňuje stínové kopie svazku pro aplikace, které ukládají datové soubory na tento souborový server.

faxový server

Role odesílá a přijímá faxy a umožňuje vám spravovat faxové zdroje, jako jsou úlohy, nastavení, sestavy a faxová zařízení v tomto počítači nebo v síti. Požadováno pro práci Tiskový server».

Název role pro Windows PowerShell je Fax.

Tímto je přehled rolí serveru Windows Server 2016 dokončen, doufám, že pro vás byl materiál prozatím užitečný!

Použití skupinových zásad (část 3)

GPO jsou obvykle přiřazeny ke kontejneru (doméně, webu nebo organizační jednotce) a vztahují se na všechny objekty v tomto kontejneru. S dobře organizovanou doménovou strukturou je to docela dost, ale někdy je nutné dále omezit aplikaci politik na určitou skupinu objektů. K tomu lze použít dva typy filtrů.

Bezpečnostní filtry

Filtry zabezpečení umožňují omezit použití zásad na určitou skupinu zabezpečení. Vezměme si například GPO2, který se používá k centrální konfiguraci nabídky Start na pracovních stanicích s Windows 8.1\Windows 10. GPO2 je přiřazen k OU zaměstnanců a vztahuje se na všechny uživatele bez výjimky.

Nyní přejdeme na záložku „Rozsah“, kde jsou v části „Filtrování zabezpečení“ uvedeny skupiny, na které lze tento GPO použít. Ve výchozím nastavení je zde uvedena skupina Authenticated Users. To znamená, že zásady lze použít kdokoliv uživatel nebo počítač, který se úspěšně ověřil v doméně.

Ve skutečnosti má každý GPO svůj vlastní přístupový seznam, který lze vidět na kartě Delegace.

Chcete-li použít zásadu, musí mít objekt práva ke čtení (Číst) a používat (Použít zásadu skupiny), která má skupina Authenticated Users. V souladu s tím, aby politika nebyla aplikována na všechny, ale pouze na určitou skupinu, je nutné odebrat Authenticated Users ze seznamu, poté přidat požadovanou skupinu a dát jí příslušná práva.

V našem příkladu lze tedy zásadu použít pouze na skupinu Účetnictví.

filtry WMI

Windows Management Instrumentation (WMI) je jedním z nejvýkonnějších nástrojů pro správu operačního systému Windows. WMI obsahuje obrovské množství tříd, pomocí kterých můžete popsat téměř všechna uživatelská a počítačová nastavení. Všechny dostupné třídy WMI můžete zobrazit jako seznam pomocí PowerShellu spuštěním příkazu:

Get-WmiObject -List

Vezměte si například třídu Win32_OperatingSystem, který je zodpovědný za vlastnosti operačního systému. Předpokládejme, že chcete filtrovat všechny operační systémy kromě Windows 10. Přejdeme k počítači s nainstalovaným Windows 10, otevřeme konzolu PowerShell a zobrazíme název, verzi a typ operačního systému pomocí příkazu:

Get-WmiObject -třída Win32_OperatingSystem | fl Název, Verze, Typ produktu

Pro filtr používáme verzi a typ OS. Verze je stejná pro klientský i serverový OS a je definována takto:

Windows Server 2016\Windows 10 - 10.0
Windows Server 2012 R2\Windows 8.1 – 6.3
Windows Server 2012\Windows 8 - 6.2
Windows Server 2008 R2\Windows 7 - 6.1
Windows Server 2008\Windows Vista - 6.0

Typ produktu je zodpovědný za účel počítače a může mít 3 hodnoty:

1 - pracovní stanice;
2 - řadič domény;
3 - server.

Nyní přejdeme k vytvoření filtru. Chcete-li to provést, otevřete modul snap-in Správa zásad skupiny a přejděte do části Filtry WMI. Klikněte na něj pravým tlačítkem a z kontextové nabídky vyberte Nový.

V okně, které se otevře, zadejte název a popis filtru. Poté stiskneme tlačítko "Přidat" a do pole "Dotaz" zadáme dotaz WQL, který je základem filtru WMI. Musíme vybrat OS verze 10.0 s typem 1, takže požadavek bude vypadat takto:

SELECT * FROM Win32_OperatingSystem WHERE Verze LIKE ″10,0 %″ A ProductType = ″1″

Poznámka. Windows Query Language (WQL) – dotazovací jazyk WMI. Více se o tom můžete dozvědět na MSDN.

Uložte výsledný filtr.

Nyní zbývá pouze přiřadit filtr WMI k objektu GPO, například GPO3. Přejděte do vlastností objektu GPO, otevřete kartu „Rozsah“ a v poli „Filtrování WMI“ vyberte požadovaný filtr ze seznamu.

Analýza aplikace skupinových politik

S tolika metodami filtrování GPO je nutné umět diagnostikovat a analyzovat jejich aplikaci. Nejjednodušší způsob, jak zkontrolovat účinek skupinových zásad na počítači, je použít nástroj příkazového řádku gpresult.

Pojďme například k počítači wks2, který má nainstalovaný Windows 7, a zkontrolujte, zda fungoval filtr WMI. Chcete-li to provést, otevřete konzolu cmd s právy správce a spusťte příkaz gpresult /r, která zobrazuje souhrnné informace o zásadách skupiny aplikovaných na uživatele a počítač.

Poznámka. Nástroj gpresult má mnoho nastavení, která lze zobrazit pomocí příkazu gpresult /?.

Jak můžete vidět z přijatých dat, zásada GPO3 nebyla na počítač aplikována, protože byla filtrována filtrem WMI.

Můžete také zkontrolovat akci GPO z modulu snap-in Správa zásad skupiny pomocí speciálního průvodce. Chcete-li spustit průvodce, klikněte pravým tlačítkem myši na sekci "Výsledky zásad skupiny" a v nabídce, která se otevře, vyberte položku "Průvodce výsledky zásad skupiny".

Zadejte název počítače, pro který bude sestava generována. Pokud chcete pouze zobrazit nastavení zásad skupiny specifická pro uživatele, můžete se rozhodnout neshromažďovat nastavení pro počítač. Chcete-li to provést, zaškrtněte políčko níže (zobrazit pouze nastavení zásad uživatele).

Poté vybereme uživatelské jméno, pro které budou shromažďována data, nebo můžete určit, že do sestavy nebude zahrnuto nastavení zásad skupiny pro daného uživatele (zobrazit pouze nastavení zásad počítače).

Zkontrolujeme zvolená nastavení, klikneme na „Další“ a počkáme, než se shromáždí data a vygeneruje se zpráva.

Zpráva obsahuje komplexní údaje o GPO použitých (nebo nepoužitých) na uživatele a počítač a také použité filtry.

Vytvořme například sestavy pro dva různé uživatele a porovnejme je. Nejprve otevřeme sestavu pro uživatele Kirill a přejdeme do sekce uživatelských nastavení. Jak vidíte, politika GPO2 nebyla na tohoto uživatele uplatněna, protože nemá práva ji použít (Důvod odmítnut - Nepřístupný).

A nyní otevřeme zprávu pro uživatele Olega. Tento uživatel je členem skupiny Účetnictví, takže na něj byla zásada úspěšně aplikována. To znamená, že bezpečnostní filtr byl úspěšně dokončen.

Tím možná dokončím ″fascinující″ příběh o uplatňování skupinových zásad. Doufám, že tyto informace budou užitečné a pomohou vám v obtížném úkolu správy systému 🙂

Při instalaci systému Windows se většina nepodstatných podsystémů neaktivuje ani nenainstaluje. Děje se tak z bezpečnostních důvodů. Protože je systém ve výchozím nastavení zabezpečený, mohou se správci systému soustředit na návrh systému, který dělá to, co dělá, a nic jiného. Aby vám pomohl aktivovat požadované funkce, systém Windows vás vyzve k výběru role serveru.

Role

Role serveru je sada programů, které při správné instalaci a konfiguraci umožňují počítači vykonávat určitou funkci pro více uživatelů nebo jiných počítačů v síti. Obecně platí, že všechny role mají následující charakteristiky.

• Definují hlavní funkci, účel nebo účel použití počítače. Počítač můžete určit, aby hrál jednu roli, která je v podniku intenzivně využívána, nebo aby hrál více rolí, kde se každá role používá pouze příležitostně.
• Role poskytují uživatelům v celé organizaci přístup ke zdrojům, které jsou spravovány jinými počítači, jako jsou webové stránky, tiskárny nebo soubory uložené na různých počítačích.
• Obvykle mají své vlastní databáze, které řadí do fronty požadavky uživatelů nebo počítačů nebo zaznamenávají informace o uživatelích sítě a počítačích spojených s rolí. Například služba Active Directory Domain Services obsahuje databázi pro ukládání jmen a hierarchických vztahů všech počítačů v síti.
• Po správné instalaci a konfiguraci role fungují automaticky. To umožňuje počítačům, na kterých jsou nainstalovány, provádět přiřazené úkoly s omezenou interakcí uživatele.

Služby rolí

Služby rolí jsou programy, které poskytují funkce role. Při instalaci role si můžete vybrat, které služby poskytuje ostatním uživatelům a počítačům v podniku. Některé role, jako je DNS server, plní pouze jednu funkci, takže pro ně neexistují žádné služby rolí. Jiné role, jako například Služby vzdálené plochy, mají několik služeb, které můžete nainstalovat na základě potřeb vzdáleného přístupu vašeho podniku. Role může být chápána jako soubor úzce souvisejících, doplňkových služeb rolí. Ve většině případů instalace role znamená instalaci jedné nebo více jejích služeb.

Komponenty

Komponenty jsou programy, které nejsou přímo součástí rolí, ale podporují nebo rozšiřují funkčnost jedné nebo více rolí nebo celého serveru bez ohledu na to, které role jsou nainstalovány. Například Failover Cluster Tool rozšiřuje další role, jako jsou File Services a DHCP Server, tím, že jim umožňuje připojit se ke clusterům serverů, což poskytuje zvýšenou redundanci a výkon. Druhá součást, klient Telnet, umožňuje vzdálenou komunikaci se serverem Telnet prostřednictvím síťového připojení. Tato funkce rozšiřuje možnosti komunikace pro server.

Když Windows Server běží v režimu Server Core, jsou podporovány následující role serveru:

• Active Directory Certificate Services;
• Active Directory Domain Services;
• DHCP server
• DNS server;
• souborové služby (včetně správce prostředků souborového serveru);
• Active Directory Lightweight Directory Services;
• Hyper-V
• Tiskařské a dokumentační služby;
• Streamingové mediální služby;
• webový server (včetně podmnožiny ASP.NET);
• Windows Server Update Server;
• Server pro správu práv Active Directory;
• Server pro směrování a vzdálený přístup a následující podřízené role:
  • Zprostředkovatel připojení ke vzdálené ploše;
  • udělování licencí;
  • virtualizace.

Když Windows Server běží v režimu Server Core, jsou podporovány následující funkce serveru:

• Microsoft .NET Framework 3.5;
• Microsoft .NET Framework 4.5;
• Windows PowerShell;
• Služba inteligentního přenosu na pozadí (BITS);
• BitLocker Drive Encryption;
• BitLocker Network Unlock;
• BranchCache
• most datového centra;
• Rozšířené úložiště;
• clustering s podporou převzetí služeb při selhání;
• Vícecestný I/O;
• vyrovnávání zatížení sítě;
• protokol PNRP;
• qWave;
• vzdálená diferenciální komprese;
• jednoduché služby TCP/IP;
• RPC přes HTTP proxy;
• SMTP server;
• služba SNMP;
• Telnet klient;
• telnet server;
• TFTP klient;
• interní databáze Windows;
• Windows PowerShell Web Access;
• Služba aktivace systému Windows;
• standardizovaná správa úložiště Windows;
• rozšíření IIS WinRM;
• WINS server;
• Podpora WoW64.

Instalace serverových rolí pomocí Správce serveru

Chcete-li přidat, otevřete Správce serveru a v nabídce Správa klikněte na Přidat role a funkce:

Otevře se Průvodce přidáním rolí a funkcí. Klepněte na tlačítko Další

Typ instalace, vyberte instalaci na základě rolí nebo funkcí. Další:

Výběr serveru - vyberte náš server. Klikněte na Další Role serveru – V případě potřeby vyberte role, vyberte služby rolí a kliknutím na Další vyberte komponenty. Během tohoto postupu vás Průvodce přidáním rolí a funkcí automaticky informuje o konfliktech na cílovém serveru, které mohou bránit instalaci nebo normálnímu provozu vybraných rolí nebo funkcí. Budete také vyzváni k přidání rolí, služeb rolí a funkcí požadovaných vybranými rolemi nebo funkcemi.

Instalace rolí pomocí PowerShellu

Otevřete prostředí Windows PowerShell Zadejte příkaz Get-WindowsFeature a zobrazte seznam dostupných a nainstalovaných rolí a funkcí na místním serveru. Výstup této rutiny obsahuje názvy příkazů pro role a funkce, které jsou nainstalovány a dostupné pro instalaci.

Chcete-li zobrazit syntaxi a platné parametry rutiny Install-WindowsFeature (MAN), zadejte Get-Help Install-WindowsFeature.

Zadejte následující příkaz (-Restart restartuje server, pokud instalace role vyžaduje restart).

Install-WindowsFeature-Name-Restart

Popis rolí a služeb rolí

Všechny role a služby rolí jsou popsány níže. Podívejme se na pokročilá nastavení pro nejběžnější Role webového serveru a Služby vzdálené plochy v naší praxi.

Podrobný popis IIS

• Společné vlastnosti HTTP – Základní součásti HTTP
  • Výchozí dokument – ​​umožňuje nastavit indexovou stránku webu.
  • Procházení adresářů – umožňuje uživatelům prohlížet obsah adresáře na webovém serveru. Použijte Procházení adresářů k automatickému vygenerování seznamu všech adresářů a souborů v adresáři, když uživatelé nezadají soubor v adrese URL a stránka indexu je zakázána nebo není nakonfigurována.
  • Chyby HTTP – umožňuje přizpůsobit chybové zprávy vracené klientům v prohlížeči.
  • Statický obsah – umožňuje zveřejňovat statický obsah, jako jsou obrázky nebo html soubory.
  • Přesměrování HTTP – Poskytuje podporu pro přesměrování požadavků uživatelů.
  • WebDAV Publishing umožňuje publikovat soubory z webového serveru pomocí protokolu HTTP.
• Funkce zdraví a diagnostiky – diagnostické komponenty
  • Protokolování HTTP poskytuje protokolování aktivity webu pro daný server.
  • Vlastní protokolování poskytuje podporu pro vytváření vlastních protokolů, které se liší od „tradičních“ protokolů.
  • Nástroje pro protokolování poskytují rámec pro správu protokolů webového serveru a automatizaci běžných úloh protokolování.
  • ODBC Logging poskytuje rámec, který podporuje protokolování aktivity webového serveru do databáze vyhovující ODBC.
  • Request Monitor poskytuje rámec pro monitorování stavu webových aplikací shromažďováním informací o HTTP požadavcích v pracovním procesu IIS.
  • Trasování poskytuje rámec pro diagnostiku a odstraňování problémů s webovými aplikacemi. Pomocí trasování neúspěšných požadavků můžete sledovat těžko dohledatelné události, jako je špatný výkon nebo selhání ověřování.
• Výkonové komponenty pro zvýšení výkonu webového serveru.
  • Komprese statického obsahu poskytuje rámec pro konfiguraci komprese statického obsahu HTTP
  • Dynamická komprese obsahu poskytuje rámec pro konfiguraci komprese dynamického obsahu HTTP.
• Bezpečnostní komponenty
  • Filtrování požadavků umožňuje zachytit všechny příchozí požadavky a filtrovat je na základě pravidel nastavených správcem.
  • Basic Authentication umožňuje nastavit další autorizaci
  • Centralizovaná podpora certifikátů SSL je funkce, která vám umožňuje ukládat certifikáty do centrálního umístění, jako je sdílení souborů.
  • Ověřování mapování klientských certifikátů používá k ověřování uživatelů klientské certifikáty.
  • Ověřování algoritmem Digest funguje tak, že se do řadiče domény Windows odešle hash hesla k ověření uživatelů. Pokud potřebujete větší zabezpečení než základní ověřování, zvažte použití ověřování Digest
  • Ověřování mapování klientského certifikátu IIS používá k ověřování uživatelů klientské certifikáty. Klientský certifikát je digitální ID získané z důvěryhodného zdroje.
  • Omezení IP a domén vám umožňuje povolit/zakázat přístup na základě požadované IP adresy nebo názvu domény.
  • URL Authorization vám umožňuje vytvářet pravidla, která omezují přístup k webovému obsahu.
  • Ověřování systému Windows Toto schéma ověřování umožňuje správcům domény systému Windows využívat infrastrukturu domény pro ověřování uživatelů.
• Funkce vývoje aplikací
• FTP server
  • Služba FTP Umožňuje publikování FTP na webový server.
  • Rozšiřitelnost FTP Umožňuje podporu funkcí FTP, které rozšiřují funkčnost
• Nástroje pro správu
  • Konzola pro správu IIS nainstaluje Správce IIS, který umožňuje spravovat webový server prostřednictvím grafického uživatelského rozhraní
  • Kompatibilita správy služby IIS 6.0 poskytuje dopřednou kompatibilitu pro aplikace a skripty, které používají objekt Admin Base Object (ABO) a rozhraní ADSI (Address Directory Service Interface) Active Directory API. To umožňuje, aby webový server IIS 8.0 používal existující skripty IIS 6.0
  • Skripty a nástroje pro správu IIS poskytují infrastrukturu pro správu webového serveru IIS programově, pomocí příkazů v okně příkazového řádku nebo spouštěním skriptů.
  • Služba správy poskytuje infrastrukturu pro přizpůsobení uživatelského rozhraní, Správce IIS.

Podrobný popis RDS

• Zprostředkovatel připojení ke vzdálené ploše – Poskytuje opětovné připojení klientského zařízení k programům založeným na relacích plochy a virtuální plochy.
• Brána vzdálené plochy – umožňuje oprávněným uživatelům připojit se k virtuálním plochám, programům RemoteApp a plochám založeným na relacích v podnikové síti nebo přes internet.
• Licencování vzdálené plochy – nástroj pro správu licencí RDP
• Hostitel relací vzdálené plochy – zahrnuje server pro hostování programů RemoteApp nebo relace na ploše.
• Hostitel virtualizace vzdálené plochy – umožňuje konfigurovat RDP na virtuálních počítačích
• Vzdálená plocha WebAccess – umožňuje uživatelům připojit se ke zdrojům plochy pomocí nabídky Start nebo webového prohlížeče.

Zvažte instalaci a konfiguraci terminálového licenčního serveru. Výše uvedené popisuje, jak nainstalovat role, instalace RDS se neliší od instalace jiných rolí, v Role Services musíme vybrat Remote Desktop Licensing a Remote Desktop Session Host. Po instalaci se v Server Manager-Tools objeví položka Terminálové služby. Diagnostika licencí RD Terminal Services obsahuje dvě položky, jedná se o nástroj pro diagnostiku provozu licencování vzdálené plochy a Správce licencí vzdálené plochy, jedná se o nástroj pro správu licencí.

Spusťte Diagnostiku licencí RD

Zde vidíme, že zatím nejsou k dispozici žádné licence, protože pro server RD Session Host není nastaven režim licencování. Licenční server je uveden v zásadách místní skupiny. Chcete-li spustit editor, spusťte příkaz gpedit.msc. Otevře se Editor místních zásad skupiny. Ve stromu nalevo rozbalte karty:

• Konfigurace počítače
• Šablony pro správu
• Součásti systému Windows
• Služby vzdálené plochy
• Hostitel relace vzdálené plochy
• "Licencování" (licence)

Otevřete parametry Použít zadané licenční servery vzdálené plochy

V okně úprav nastavení zásad povolte licenční server (Povoleno). Dále musíte definovat licenční server pro službu vzdálené plochy. V mém příkladu je licenční server umístěn na stejném fyzickém serveru. Zadejte název sítě nebo IP adresu licenčního serveru a klepněte na OK. Pokud se název serveru, licenčního serveru v budoucnu změní, budete jej muset změnit ve stejné sekci.

Poté v nástroji RD Licensing Diagnoser uvidíte, že terminálový licenční server je nakonfigurován, ale není povolen. Chcete-li to povolit, spusťte Správce licencí vzdálené plochy

Vyberte licenční server se stavem Neaktivováno . Chcete-li jej aktivovat, klikněte na něj pravým tlačítkem a vyberte možnost Aktivovat server. Spustí se Průvodce aktivací serveru. Na kartě Způsob připojení vyberte Automatické připojení. Dále vyplňte informace o organizaci, poté se aktivuje licenční server.

Certifikační služba Active Directory

Služba AD CS poskytuje konfigurovatelné služby pro vydávání a správu digitálních certifikátů, které se používají v systémech zabezpečení softwaru, které využívají technologie veřejného klíče. Digitální certifikáty poskytované službou AD CS lze použít k šifrování a digitálnímu podepisování elektronických dokumentů a zpráv. Tyto digitální certifikáty lze použít k ověření účtů počítačů, uživatelů a zařízení v síti. Digitální certifikáty se používají k poskytování:

• soukromí prostřednictvím šifrování;
• integrita prostřednictvím digitálních podpisů;
• ověřování propojením klíčů certifikátu s účty počítačů, uživatelů a zařízení v síti.

AD CS lze použít ke zlepšení zabezpečení navázáním identity uživatele, zařízení nebo služby na odpovídající soukromý klíč. Aplikace podporované službou AD CS zahrnují zabezpečená víceúčelová rozšíření Internet Mail Standard Extensions (S/MIME), zabezpečené bezdrátové sítě, virtuální privátní sítě (VPN), IPsec, Encrypting File System (EFS), přihlašování pomocí čipových karet, zabezpečení a protokol zabezpečení transportní vrstvy. (SSL/TLS) a digitální podpisy.

Active Directory Domain Services

Pomocí role serveru Active Directory Domain Services (AD DS) můžete vytvořit škálovatelnou, zabezpečenou a spravovatelnou infrastrukturu pro správu uživatelů a zdrojů; můžete také poskytovat aplikace s podporou adresářů, jako je Microsoft Exchange Server. Služba Active Directory Domain Services poskytuje distribuovanou databázi, která ukládá a spravuje informace o síťových prostředcích a datech aplikací s povoleným adresářem. Server, na kterém je spuštěna služba AD DS, se nazývá řadič domény. Správci mohou pomocí služby AD DS uspořádat síťové prvky, jako jsou uživatelé, počítače a další zařízení, do hierarchické vnořené struktury. Hierarchická vnořená struktura zahrnuje doménovou strukturu Active Directory, domény v doménové struktuře a organizační jednotky v každé doméně. Funkce zabezpečení jsou integrovány do služby AD DS ve formě ověřování a řízení přístupu ke zdrojům v adresáři. Díky jednotnému přihlášení mohou administrátoři spravovat informace o adresáři a organizaci přes síť. Autorizovaní uživatelé sítě mohou také používat jednotné přihlašování k síti pro přístup ke zdrojům umístěným kdekoli v síti. Služba Active Directory Domain Services poskytuje následující dodatečné funkce.

• Sada pravidel je schéma, které definuje třídy objektů a atributů, které jsou obsaženy v adresáři, omezení a limity instancí těchto objektů a formát jejich názvů.
• Globální katalog obsahující informace o každém objektu v katalogu. Uživatelé a administrátoři mohou používat globální katalog k vyhledávání katalogových dat bez ohledu na to, která doména v katalogu hledaná data skutečně obsahuje.
• Mechanismus dotazování a indexování, jehož prostřednictvím mohou být objekty a jejich vlastnosti publikovány a lokalizovány síťovými uživateli a aplikacemi.
• Replikační služba, která distribuuje data adresáře po síti. Všechny zapisovatelné řadiče domény v doméně se účastní replikace a obsahují úplnou kopii všech dat adresáře pro svou doménu. Jakékoli změny dat adresáře jsou replikovány v doméně na všechny řadiče domény.
• Role hlavního operačního serveru (známé také jako flexibilní samostatné hlavní operace nebo FSMO). Řadiče domény, které fungují jako hlavní operace, jsou navrženy tak, aby prováděly speciální úkoly, aby zajistily konzistenci dat a zabránily konfliktním položkám adresářů.

Active Directory Federation Services

Služba AD FS poskytuje koncovým uživatelům, kteří potřebují přístup k aplikacím v podniku zabezpečeném službou AD FS, ve federačních partnerských organizacích nebo v cloudu, pomocí zjednodušené a zabezpečené federace identit a webových služeb jednotného přihlášení (SSO). Windows Server AD FS zahrnuje role service Federation Service fungující jako poskytovatel identity (ověřuje uživatele, aby poskytli tokeny zabezpečení aplikacím, které důvěřují službě AD FS) nebo jako poskytovatel federace (používá tokeny od jiných poskytovatelů identity a poté poskytuje tokeny zabezpečení aplikacím, které důvěřují službě AD FS).

Active Directory Lightweight Directory Services

Active Directory Lightweight Directory Services (AD LDS) je protokol LDAP, který poskytuje flexibilní podporu pro adresářové aplikace bez závislostí a omezení specifických pro doménu služby Active Directory Domain Services. AD LDS lze spouštět na členských nebo samostatných serverech. Na stejném serveru můžete spustit více instancí služby AD LDS s nezávisle spravovanými schématy. S rolí služby AD LDS můžete poskytovat adresářové služby aplikacím s povoleným adresářem bez použití dat domény a doménové služby a bez nutnosti jediného schématu celé doménové struktury.

Active Directory Rights Management Services

Pomocí služby AD RMS můžete rozšířit strategii zabezpečení vaší organizace zabezpečením dokumentů pomocí správy práv k informacím (IRM). Služba AD RMS umožňuje uživatelům a správcům přidělovat přístupová oprávnění k dokumentům, sešitům a prezentacím pomocí zásad IRM. To vám umožní chránit důvěrné informace před tiskem, předáváním nebo kopírováním neoprávněnými uživateli. Jakmile jsou oprávnění souboru omezena pomocí IRM, platí omezení přístupu a použití bez ohledu na umístění informací, protože oprávnění souboru je uloženo v samotném souboru dokumentu. S AD RMS a IRM mohou jednotliví uživatelé použít své vlastní preference týkající se přenosu osobních a důvěrných informací. Pomohou také organizaci prosazovat firemní zásady pro kontrolu používání a distribuce citlivých a osobních informací. Řešení IRM podporovaná službou AD RMS se používají k poskytování následujících funkcí.

• Trvalé zásady používání, které zůstávají s informacemi, ať už jsou přesunuty, odeslány nebo přeposlány.
• Další vrstva soukromí na ochranu citlivých dat – jako jsou zprávy, specifikace produktů, informace o zákaznících a e-mailové zprávy – před úmyslným nebo náhodným pádem do nesprávných rukou.
• Zabraňte neoprávněnému odesílání, kopírování, úpravám, tisku, faxování nebo vkládání omezeného obsahu oprávněnými příjemci.
• Zabraňte kopírování omezeného obsahu pomocí funkce PRINT SCREEN v systému Microsoft Windows.
• Podpora pro vypršení platnosti souboru, která zabraňuje zobrazení obsahu dokumentu po určité době.
• Implementujte firemní zásady, které řídí používání a distribuci obsahu v rámci organizace

Aplikační server

Application Server poskytuje integrované prostředí pro zavádění a spouštění vlastních podnikových aplikací založených na serveru.

DHCP server

DHCP je technologie klient-server, která umožňuje serverům DHCP přidělovat nebo pronajímat adresy IP počítačům a dalším zařízením, která jsou klienty DHCP. Nasazení serverů DHCP v síti automaticky poskytuje klientským počítačům a dalším síťovým zařízením na základě IPv4 a IPv6 platné IP adresy a další konfigurační nastavení vyžadovaná těmito klienty a zařízeními Služba DHCP Server v systému Windows Server zahrnuje podporu pro přiřazení na základě zásad a převzetí služeb při selhání DHCP.

DNS server

Služba DNS je hierarchická distribuovaná databáze obsahující mapování názvů domén DNS na různé typy dat, jako jsou IP adresy. Služba DNS vám umožňuje používat popisné názvy, jako je www.microsoft.com, k vyhledání počítačů a dalších zdrojů v sítích založených na protokolu TCP/IP. Služba DNS v systému Windows Server poskytuje další vylepšenou podporu pro moduly zabezpečení DNS (DNSSEC), včetně síťové registrace a automatické správy nastavení.

FAX Server

Faxový server odesílá a přijímá faxy a umožňuje vám spravovat faxové zdroje, jako jsou úlohy, nastavení, sestavy a faxová zařízení na vašem faxovém serveru.

Souborové a úložné služby

Správci mohou použít roli Souborové a úložné služby k nastavení více souborových serverů a jejich úložišť a ke správě těchto serverů pomocí Správce serveru nebo Windows PowerShell. Některé specifické aplikace obsahují následující funkce.

• pracovní složky. Slouží k tomu, aby uživatelé mohli ukládat a přistupovat k pracovním souborům na osobních počítačích a zařízeních jiných než firemních. Uživatelé získají pohodlné místo pro ukládání pracovních souborů a přístup k nim odkudkoli. Organizace řídí podniková data ukládáním souborů na centrálně spravované souborové servery a volitelně nastavují zásady uživatelských zařízení (jako je šifrování a hesla pro uzamčení obrazovky).
• Deduplikace dat. Slouží ke snížení požadavků na místo na disku pro ukládání souborů a šetří peníze za úložiště.
• Cílový server iSCSI. Slouží k vytváření centralizovaných diskových subsystémů iSCSI nezávislých na softwaru a zařízení v sítích SAN (Storage Area Network).
• Diskové prostory. Použijte k nasazení úložiště, které je vysoce dostupné, odolné a škálovatelné s cenově výhodnými standardními disky.
• Správce serveru. Slouží ke vzdálené správě více souborových serverů z jednoho okna.
• Windows PowerShell. Slouží k automatizaci správy většiny úloh správy souborového serveru.

Hyper-V

Role Hyper-V vám umožňuje vytvářet a spravovat virtualizované výpočetní prostředí pomocí virtualizační technologie zabudované do systému Windows Server. Instalace role Hyper-V nainstaluje předpoklady a volitelné nástroje pro správu. Předpoklady zahrnují Windows hypervisor, Hyper-V Virtual Machine Management Service, poskytovatele virtualizace WMI a virtualizační komponenty, jako je VMbus, Virtualization Service Provider (VSP) a Virtual Infrastructure Driver (VID).

Síťová politika a přístupové služby

Network Policy and Access Services poskytuje následující řešení síťového připojení:

• Network Access Protection je technologie pro vytváření, vynucování a nápravu zásad zdraví klientů. Pomocí Network Access Protection mohou správci systému nastavit a automaticky vynutit zásady stavu, které zahrnují požadavky na software, aktualizace zabezpečení a další nastavení. U klientských počítačů, které nesplňují zásady stavu, můžete omezit přístup k síti, dokud nebude jejich konfigurace aktualizována tak, aby splňovala požadavky zásady.
• Pokud jsou nasazeny bezdrátové přístupové body s podporou 802.1X, můžete použít server NPS (Network Policy Server) k nasazení metod ověřování na základě certifikátu, které jsou bezpečnější než ověřování na základě hesla. Nasazení hardwaru s podporou 802.1X se serverem NPS umožňuje uživatelům intranetu ověření před připojením k síti nebo získáním IP adresy ze serveru DHCP.
• Namísto konfigurace zásad přístupu k síti na každém serveru pro přístup k síti můžete centrálně vytvořit všechny zásady, které definují všechny aspekty požadavků na připojení k síti (kdo se může připojit, když je připojení povoleno, úroveň zabezpečení, která musí být použita pro připojení k síti). ).

Tiskové a dokumentové služby

Služby tisku a dokumentů umožňují centralizovat úlohy tiskového serveru a síťové tiskárny. Tato role vám také umožňuje přijímat naskenované dokumenty ze síťových skenerů a odesílat dokumenty do sdílených síťových složek – na web služby Windows SharePoint Services nebo prostřednictvím e-mailu.

vzdálený přístup

Role Remote Access Server je logickým seskupením následujících technologií síťového přístupu.

• Přímý přístup
• Směrování a vzdálený přístup
• Proxy webové aplikace

Tyto technologie jsou služby rolí role serveru pro vzdálený přístup. Při instalaci role Server pro vzdálený přístup můžete nainstalovat jednu nebo více služeb rolí spuštěním Průvodce přidáním rolí a funkcí.

V systému Windows Server poskytuje role Server vzdáleného přístupu možnost centrálně spravovat, konfigurovat a monitorovat DirectAccess a VPN se službami vzdáleného přístupu Routing and Remote Access Service (RRAS). DirectAccess a RRAS lze nasadit na stejném serveru Edge a spravovat pomocí příkazů prostředí Windows PowerShell a konzoly pro správu vzdáleného přístupu (MMC).

Služby vzdálené plochy

Služba Remote Desktop Services urychluje a rozšiřuje nasazení desktopů a aplikací na libovolném zařízení, díky čemuž je vzdálený pracovník efektivnější a zároveň zajišťuje kritické duševní vlastnictví a zjednodušuje dodržování předpisů. Služby vzdálené plochy zahrnují infrastrukturu virtuální plochy (VDI), pracovní plochy založené na relacích a aplikace, které uživatelům umožňují pracovat odkudkoli.

Služby aktivace objemu

Volume License Activation Services je role serveru v systému Windows Server počínaje Windows Server 2012, která automatizuje a zjednodušuje vydávání a správu multilicence pro software společnosti Microsoft v různých scénářích a prostředích. Společně se službami aktivace multilicence můžete nainstalovat a nakonfigurovat službu správy klíčů (KMS) a aktivaci služby Active Directory.

webový server (IIS)

Role webového serveru (IIS) v systému Windows Server poskytuje platformu pro hostování webových stránek, služeb a aplikací. Použití webového serveru poskytuje uživatelům přístup k informacím na internetu, intranetu a extranetu. Správci mohou použít roli webového serveru (IIS) k nastavení a správě více webových stránek, webových aplikací a serverů FTP. Mezi speciální funkce patří následující.

• Ke konfiguraci součástí IIS a správě webů použijte Správce Internetové informační služby (IIS).
• Používání protokolu FTP umožňující vlastníkům webových stránek nahrávat a stahovat soubory.
• Použití izolace webových stránek k zabránění tomu, aby jeden web na serveru ovlivňoval ostatní.
• Přizpůsobení webových aplikací vyvinutých pomocí různých technologií jako Classic ASP, ASP.NET a PHP.
• Použijte Windows PowerShell k automatické správě většiny úloh správy webového serveru.
• Konsolidujte více webových serverů do serverové farmy, kterou lze spravovat pomocí služby IIS.

Windows Deployment Services

Služba Windows Deployment Services umožňuje nasadit operační systémy Windows přes síť, což znamená, že nemusíte instalovat každý operační systém přímo z disku CD nebo DVD.

Windows Server Essentials Experience

Tato role vám umožňuje provádět následující úkoly:

• chránit data serveru a klienta zálohováním serveru a všech klientských počítačů v síti;
• spravovat uživatele a skupiny uživatelů prostřednictvím zjednodušeného řídicího panelu serveru. Kromě toho integrace s Windows Azure Active Directory* poskytuje uživatelům snadný přístup k online službám Microsoft Online Services (jako jsou Office 365, Exchange Online a SharePoint Online) pomocí jejich přihlašovacích údajů k doméně;
• ukládat firemní data na centralizovaném místě;
• integrovat server se službami Microsoft Online Services (jako jsou Office 365, Exchange Online, SharePoint Online a Windows Intune):
• používat funkce všudypřítomného přístupu na serveru (jako je vzdálený webový přístup a virtuální privátní sítě) pro přístup k serveru, síťovým počítačům a datům z vysoce zabezpečených vzdálených míst;
• přistupovat k datům odkudkoli a z jakéhokoli zařízení pomocí vlastního webového portálu organizace (prostřednictvím vzdáleného webového přístupu);
• spravovat mobilní zařízení, která přistupují k e-mailu vaší organizace pomocí Office 365 prostřednictvím protokolu Active Sync z řídicího panelu;
• monitorovat stav sítě a přijímat přizpůsobitelné zprávy o stavu; zprávy mohou být generovány na vyžádání, přizpůsobeny a zaslány e-mailem konkrétním příjemcům.

Windows Server Update Services

Server WSUS poskytuje součásti, které správci potřebují ke správě a distribuci aktualizací prostřednictvím konzoly pro správu. Server WSUS může být navíc zdrojem aktualizací pro další servery WSUS v organizaci. Při implementaci WSUS musí být alespoň jeden server WSUS v síti připojen k webu Microsoft Update, aby mohl přijímat informace o dostupných aktualizacích. V závislosti na zabezpečení a konfiguraci sítě může správce určit, kolik dalších serverů je přímo připojeno k webu Microsoft Update.

Úvod

S nárůstem počtu počítačů v podniku je otázka nákladů na jeho správu a údržbu stále naléhavější. Manuální konfigurace počítačů vyžaduje od personálu mnoho času a síly, s nárůstem počtu počítačů, zvýšit počet zaměstnanců, kteří je obsluhují. Navíc s velkým počtem strojů je stále obtížnější sledovat dodržování norem přijatých podnikem. Zásady skupiny (Group Policy) je komplexní nástroj pro centralizovanou správu počítačů se systémem Windows 2000 a vyšším v doméně Active Directory. Zásady skupiny se nevztahují na počítače se systémem Windows NT4/9x: jsou řízeny systémovými zásadami, kterými se tento článek nezabývá.

GPO

Všechna nastavení, která vytvoříte v rámci zásad skupiny, budou uložena v objektech zásad skupiny (GPO). GPO jsou dvou typů: místní GPO a Active Directory GPO. Místní GPO je k dispozici na počítačích se systémem Windows 2000 a novějším. Může existovat pouze jeden a je to jediný GPO, který může být na počítači bez domény.

Objekt zásad skupiny je obecný název pro sadu souborů, adresářů a položek v databázi Active Directory (pokud se nejedná o místní objekt), které ukládají vaše nastavení a určují, jaká další nastavení můžete změnit pomocí zásad skupiny. Vytvořením zásady ve skutečnosti vytváříte a upravujete GPO. Místní GPO je uložen v %SystemRoot%\System32\GroupPolicy. Objekty GPO služby Active Directory jsou uloženy na řadiči domény a mohou být přidruženy k webu, doméně nebo organizační jednotce (organizační jednotka, organizační jednotka nebo organizační jednotka). Vazba objektu definuje jeho rozsah. Ve výchozím nastavení jsou v doméně vytvořeny dva objekty GPO: Výchozí zásada domény a Výchozí zásada řadiče domény. První definuje výchozí politiku pro hesla a účty v doméně. Druhý komunikuje s OU Domain Controllers a zvyšuje nastavení zabezpečení pro řadiče domény.

Vytvořte GPO

Chcete-li vytvořit politiku (tj. ve skutečnosti vytvořit nový GPO), otevřete Active Directory Users & Computers a vyberte, kde chcete vytvořit nový objekt. Můžete pouze vytvořit a propojit objekt GPO s webem, doménou nebo objektem organizační jednotky.

Rýže. 1. Vytvořte GPO.

Chcete-li vytvořit GPO a propojit jej například s testery organizačních jednotek, klikněte pravým tlačítkem na tuto organizační jednotku a z místní nabídky vyberte vlastnosti. V okně vlastností, které se otevře, otevřete kartu Zásady skupiny a klikněte na Nový.

Rýže. 2. Vytvořte GPO.

Objektu GP dáme jméno, po kterém se objekt vytvoří, a můžete začít konfigurovat politiku. Poklepejte na vytvořený objekt nebo stiskněte tlačítko Upravit, otevře se okno editoru GPO, kde můžete nakonfigurovat konkrétní parametry objektu.

Rýže. 3. Popis nastavení v záložce Rozšířené.

Většina hlavních nastavení je intuitivní (mají i popis, pokud otevřete záložku Rozšířené) a nebudeme se u každého podrobně zdržovat. Jak je patrné z Obr. 3 se GPO skládá ze dvou částí: Konfigurace počítače a Konfigurace uživatele. Nastavení v první části se použijí při spouštění systému Windows na počítače v tomto kontejneru a níže (pokud není přepsáno dědění) a nezávisí na tom, který uživatel je přihlášen. Nastavení druhé sekce se uplatní při přihlašování uživatele.

Pořadí použití GPO

Po spuštění počítače proběhnou následující akce:

1. Načte se registr a zjistí se, ke kterému webu počítač patří. Na server DNS se odešle dotaz za účelem získání IP adres řadičů domény umístěných na tomto webu.
2. Po obdržení adres se počítač připojí k řadiči domény.
3. Klient si vyžádá seznam objektů GP z řadiče domény a použije je. Ten odešle seznam objektů GP v pořadí, v jakém by měly být použity.
4. Když se uživatel přihlásí, počítač si znovu vyžádá seznam objektů GP, které mají být uživateli aplikovány, načte je a použije.

Zásady skupiny se použijí při spuštění OC a při přihlášení uživatele. Poté jsou aplikovány každých 90 minut s 30minutovou obměnou, aby nedošlo k přetížení řadiče domény, pokud požaduje velký počet klientů současně. U řadičů domény je interval aktualizace 5 minut. Toto chování můžete změnit v části Konfigurace počítače\Šablony pro správu\Systém\Zásady skupiny. Objekt GPO může působit pouze na objekty Počítač a Uživatel. Zásada se vztahuje pouze na objekty umístěné v objektu adresáře (web, doména, organizační jednotka), ke kterému je objekt GPO přidružen, a dále ve stromu (pokud není zakázáno dědění). Například: GPO se vytvoří v testerech organizačních jednotek (jak jsme to udělali výše).

Rýže. 4. Dědičnost nastavení.

Všechna nastavení provedená v tomto GPO ovlivní pouze uživatele a počítače umístěné v OU ​​testerech a OU InTesters. Podívejme se na příkladu, jak jsou zásady aplikovány. Uživatelský test umístěný v testerech OU se přihlásí k počítačové sestavě umístěné v OU ​​compOU (viz obrázek 5).

Rýže. 5. Pořadí uplatňování politik.

V doméně jsou čtyři GPO:

1. SitePolicy spojené s kontejnerem webu;
2. Výchozí zásady domény spojené s kontejnerem domény;
3. Zásady1 spojené s testery organizačních jednotek;
4. Zásady2 spojené s OU compOU.

Při spouštění systému Windows na pracovní stanici comp se nastavení definovaná v částech Konfigurace počítače použijí v tomto pořadí:

1. Místní nastavení GPO;
2. Nastavení GPO SitePolicy;

4. Nastavení zásad GPO2.

Když se testovací uživatel přihlásí k počítači comp, parametry definované v částech Konfigurace uživatele jsou:

1. Místní nastavení GPO;
2. Nastavení GPO SitePolicy;
3. Výchozí nastavení zásad domény GPO;
4. Nastavení zásad GPO1.

To znamená, že GPO jsou aplikovány v tomto pořadí: místní zásady, zásady na úrovni webu, zásady na úrovni domény, zásady na úrovni organizační jednotky.

Zásady skupiny jsou aplikovány asynchronně na klienty systému Windows XP a synchronně na klienty systému Windows 2000, což znamená, že přihlašovací obrazovka uživatele se zobrazí pouze po použití všech zásad počítače a zásady uživatele se použijí před zobrazením plochy. Asynchronní vynucení zásad znamená, že se přihlašovací obrazovka uživatele zobrazí dříve, než se použijí všechny zásady počítače, a plocha se zobrazí dříve, než se použijí všechny zásady uživatele, což má za následek rychlejší načítání a přihlašování uživatele.
Výše popsané chování se změní ve dvou případech. Nejprve klientský počítač zjistil pomalé síťové připojení. Ve výchozím nastavení se v tomto případě použijí pouze nastavení zabezpečení a šablony pro správu. Připojení s šířkou pásma menší než 500 Kb/s je považováno za pomalé. Tuto hodnotu můžete změnit v části Konfigurace počítače\Šablony pro správu\Systém\Zásady skupiny\Zásady skupiny Detekce pomalého připojení. Také v části Konfigurace počítače\Šablony pro správu\Systém\Zásady skupiny můžete nakonfigurovat některá další nastavení zásad, aby byla zpracována i přes pomalé připojení. Druhým způsobem, jak změnit pořadí, ve kterém jsou zásady aplikovány, je možnost zpracování zpětné smyčky zásad skupiny uživatelů. Tato možnost změní pořadí, ve kterém se použijí výchozí zásady, kdy se uživatelské zásady použijí až po zásadách počítače a přepíší ty druhé. Můžete nastavit možnost zpětné smyčky tak, aby aplikovala zásady počítače po zásadách uživatele a přepsala všechny zásady uživatele, které jsou v rozporu se zásadami počítače. Parametr zpětné smyčky má 2 režimy:

1. Sloučit (pro připojení) - nejprve se použije zásada počítače, poté uživatel a znovu počítač. V tomto případě zásady počítače nahradí nastavení zásady uživatele, která jí odporují, vlastními zásadami.
2. Nahradit (nahradit) - uživatelská politika není zpracována.

Pro ilustraci použití nastavení zpracování zpětné smyčky zásad skupiny uživatelů, například na veřejném počítači, na kterém musíte mít stejná omezená nastavení bez ohledu na to, který uživatel je používá.

Priorita, dědičnost a řešení konfliktů

Jak jste si již všimli, na všech úrovních GPO obsahují stejná nastavení a stejné nastavení lze definovat odlišně na několika úrovních. V tomto případě bude poslední použitá hodnota efektivní hodnotou (pořadí, ve kterém jsou GPO aplikovány, bylo diskutováno výše). Toto pravidlo platí pro všechna nastavení kromě těch, která jsou definována jako nenakonfigurovaná. U těchto nastavení systém Windows neprovede žádnou akci. Existuje však jedna výjimka: všechna nastavení účtu a hesla lze definovat pouze na úrovni domény, na ostatních úrovních budou tato nastavení ignorována.

Rýže. 6. Uživatelé a počítače služby Active Directory.

Pokud je na stejné úrovni více objektů GPO, použijí se zdola nahoru. Změnou pozice objektu politiky v seznamu (pomocí tlačítek Nahoru a Dolů) můžete vybrat požadované pořadí aplikací.

Rýže. 7. Pořadí aplikace politik.

Někdy chcete, aby konkrétní organizační jednotka nepřijímala nastavení zásad z objektů GPO spojených s nadřazenými kontejnery. V tomto případě musíte deaktivovat dědění zásad zaškrtnutím políčka Blokovat dědičnost zásad. Všechna zděděná nastavení zásad jsou zablokována a neexistuje žádný způsob, jak zablokovat jednotlivá nastavení. Nastavení na úrovni domény, která definují zásady hesel a zásady účtů, nelze uzamknout.

Rýže. 9. Blokování dědičnosti zásad.

Pokud si nepřejete, aby se určitá nastavení v daném GPO přepsala, vyberte požadovaný GPO, stiskněte tlačítko Možnosti a vyberte Bez přepsání. Tato možnost vynutí použití nastavení GPO tam, kde je blokováno dědění zásad. Žádné přepsání není nastaveno v místě, kde je objekt GPO přidružen k objektu adresáře, nikoli v samotném objektu GPO. Pokud je objekt GPO propojen s více kontejnery v doméně, nebude toto nastavení automaticky nakonfigurováno pro ostatní odkazy. Pokud je nastavení Bez přepsání nakonfigurováno pro více odkazů na stejné úrovni, budou mít přednost (a efekt) nastavení objektu GPO v horní části seznamu. Pokud je nastavení Bez přepsání nakonfigurováno pro více objektů GPO na různých úrovních, projeví se nastavení GPO výše v hierarchii adresářů. To znamená, že pokud je nastavení Bez přepsání nakonfigurováno pro propojení objektu GPO s objektem domény a pro propojení s objektem GPO s organizační jednotkou, projeví se nastavení definovaná na úrovni domény. Zaškrtávací políčko Zakázáno zruší účinek tohoto GPO na tento kontejner.

Rýže. 10. Možnosti No Override a Disabled.

Jak bylo uvedeno výše, zásady se týkají pouze uživatelů a počítačů. Často vyvstává otázka: „jak zajistit, aby určitá politika ovlivňovala všechny uživatele zahrnuté v určité bezpečnostní skupině?“. Za tímto účelem je objekt GPO vázán na objekt domény (nebo jakýkoli kontejner umístěný nad kontejnery nebo organizační jednotkou, ve kterých jsou umístěny všechny uživatelské objekty z požadované skupiny) a jsou nakonfigurována nastavení přístupu. Klikněte na Vlastnosti, na kartě Zabezpečení odstraňte skupinu Authenticated Users a přidejte požadovanou skupinu s právy Číst a používat zásady skupiny.

Určení nastavení, která ovlivňují počítač uživatele

Chcete-li určit konečnou konfiguraci a identifikovat problémy, potřebujete vědět, která nastavení zásad jsou aktuálně platná pro daného uživatele nebo počítač. K tomu slouží nástroj Resultant Set of Policy (výsledná sada politik, RSoP). RSoP může fungovat jak v režimu registrace, tak v režimu plánování. Chcete-li vyvolat RSoP, klikněte pravým tlačítkem na objekt uživatele nebo počítače a vyberte Všechny úlohy.

Rýže. 11. Vyvolání nástroje Výsledná sada zásad.

Po spuštění (v režimu protokolování) budete požádáni, abyste vybrali, pro který počítač a uživatele chcete definovat sadu výsledků, a zobrazí se okno nastavení výsledků, které ukazuje, který GPO použil které nastavení.

Rýže. 12. Výsledný soubor zásad.

Další nástroje pro správu zásad skupiny

GPResult je nástroj příkazového řádku, který poskytuje některé funkce RSoP. GPResult je ve výchozím nastavení k dispozici na všech počítačích se systémem Windows XP a Windows Server 2003.

GPUpdate vynutí použití skupinových zásad – jak místních, tak na bázi Active Directory. Ve Windows XP/2003 nahradila možnost /refreshpolicy v nástroji secedit pro Windows 2000.

Popis syntaxe příkazu je dostupný, když je spustíte klávesou /?.

Místo závěru

Tento článek si neklade za cíl vysvětlit všechny aspekty práce se skupinovými politikami, není zaměřen na zkušené systémové administrátory. Vše výše uvedené by podle mého názoru mělo jen nějak pomoci pochopit základní principy práce s politiky těm, kteří s nimi nikdy nepracovali, nebo je teprve začínají ovládat.

Nástroj GPResult.exe– je konzolová aplikace určená k analýze nastavení a diagnostice skupinových zásad, které jsou aplikovány na počítač a/nebo uživatele v doméně Active Directory. GPResult umožňuje zejména získat data z výsledné sady politik (Resultant Set of Policy, RSOP), seznam aplikovaných doménových politik (GPO), jejich nastavení a podrobné informace o jejich chybách zpracování. Nástroj je součástí operačního systému Windows již od dob Windows XP. Nástroj GPResult vám umožňuje odpovědět na otázky, jako je například to, zda se určitá zásada vztahuje na počítač, který objekt GPO změnil konkrétní nastavení systému Windows, a zjistit důvody.

V tomto článku se podíváme na specifika použití příkazu GPResult k diagnostice a ladění aplikace skupinových zásad v doméně Active Directory.

Zpočátku byla pro diagnostiku aplikace skupinových zásad ve Windows využívána grafická konzole RSOP.msc, která umožňovala získat nastavení výsledných politik (doména + místní) aplikovaných na počítač a uživatele v grafické podobě podobné konzole editoru GPO (níže v příkladu zobrazení konzoly RSOP.msc vidíte, že je nastaveno nastavení aktualizace).

Konzolu RSOP.msc v moderních verzích Windows však není praktické používat, protože neodráží nastavení aplikovaná různými rozšířeními na straně klienta (CSE), jako je GPP (Group Policy Preferences), neumožňuje vyhledávání, poskytuje málo diagnostických informací. V tuto chvíli je tedy právě příkaz GPResult hlavním nástrojem pro diagnostiku použití GPO ve Windows (ve Windows 10 je dokonce varování, že RSOP na rozdíl od GPResult nedává kompletní zprávu).

Pomocí nástroje GPResult.exe

Příkaz GPResult se spustí v počítači, na kterém chcete otestovat aplikaci zásad skupiny. Příkaz GPResult má následující syntaxi:

GPRESULT ]] [(/X | /H) ]

Chcete-li získat podrobné informace o zásadách skupiny, které se vztahují na daný objekt AD (uživatel a počítač) a další nastavení související s infrastrukturou GPO (tj. výsledná nastavení zásad GPO - RsoP), spusťte příkaz:

Výsledky provádění příkazu jsou rozděleny do 2 částí:

• POČÍTAČ NASTAVENÍ (Konfigurace počítače) – sekce obsahuje informace o objektech GPO, které ovlivňují počítač (jako objekt Active Directory);
• UŽIVATEL NASTAVENÍ – uživatelská část zásad (zásady, které se vztahují na uživatelský účet v AD).

Pojďme si stručně projít hlavní parametry/sekce, které nás mohou ve výstupu GPResult zajímat:

• místonázev(Název stránky:) - název stránky AD, na které se počítač nachází;
• CN– úplný kanonický uživatel/počítač, pro který byla generována data RSoP;
• PosledníčasskupinaPolitikabylaplikovaný(Naposledy použitá skupinová politika) – čas, kdy byly naposledy použity skupinové zásady;
• skupinaPolitikabylaplikovanýz(Zásady skupiny byly použity z) – řadič domény, ze kterého byla načtena nejnovější verze objektu GPO;
• Doménanázeva Doménatyp(Název domény, typ domény) – název a verze schématu domény Active Directory;
• AplikovanýskupinaPolitikaObjekty(Použité GPO)– seznamy objektů aktivních zásad skupiny;
• TheNásledujícíGPObylineaplikovanýprotožeonybylifiltrovanýven(Následující zásady GPO nebyly použity, protože byly filtrovány) - nepoužité (filtrované) GPO;
• Theuživatel/počítačjeAčástzaNásledujícíbezpečnostnískupiny(Uživatel/počítač je členem následujících skupin zabezpečení) – Skupiny domén, kterých je uživatel členem.

V našem příkladu můžete vidět, že objekt uživatele je ovlivněn 4 zásadami skupiny.

• Výchozí zásady domény;
• Povolit bránu Windows Firewall;
• Seznam hledání přípon DNS

Pokud nechcete, aby konzole zobrazovala informace o zásadách uživatelů i zásadách počítače současně, můžete pomocí volby /scope zobrazit pouze sekci, která vás zajímá. Pouze výsledné uživatelské zásady:

gpresult /r /scope:user

nebo pouze aplikované zásady stroje:

gpresult /r /scope:computer

Protože Obslužný program Gpresult odesílá svá data přímo do konzole příkazového řádku, což není vždy vhodné pro následnou analýzu; jeho výstup lze přesměrovat do schránky:

gpresult /r |klip

nebo textový soubor:

gpresult /r > c:\gpresult.txt

Chcete-li zobrazit velmi podrobné informace RSOP, přidejte přepínač /z.

HTML RSOP report pomocí GPResult

Kromě toho může nástroj GPResult generovat zprávu HTML o použitých zásadách výsledků (dostupné ve Windows 7 a vyšších). Tato sestava bude obsahovat podrobné informace o všech nastaveních systému, která jsou nastavena zásadami skupiny, a názvy konkrétních objektů GPO, které je nastavují (výsledná sestava o struktuře se podobá kartě Nastavení v Konzole pro správu zásad skupiny domény - GPMC). Hlášení HTML GPResult můžete vygenerovat pomocí příkazu:

GPResult /h c:\gp-report\report.html /f

Chcete-li vygenerovat sestavu a automaticky ji otevřít v prohlížeči, spusťte příkaz:

GPResult /h GPResult.html & GPResult.html

Zpráva gpresult HTML obsahuje poměrně mnoho užitečných informací: jsou viditelné chyby aplikace GPO, doba zpracování (v ms) a aplikace specifických zásad a CSE (v části Podrobnosti o počítači -> Stav součásti). Například na výše uvedeném snímku obrazovky můžete vidět, že zásada s nastavením, které si pamatuje 24 hesel, je aplikována výchozí zásadou domény (sloupec Vítězný GPO). Jak vidíte, taková HTML sestava je pro analýzu použitých zásad mnohem pohodlnější než konzola rsop.msc.

Získávání dat GPResult ze vzdáleného počítače

GPResult může také shromažďovat data ze vzdáleného počítače, čímž eliminuje potřebu, aby se správce přihlašoval lokálně nebo RDP ke vzdálenému počítači. Formát příkazu pro sběr dat RSOP ze vzdáleného počítače je následující:

GPResult /s server-ts1 /r

Podobně můžete vzdáleně shromažďovat data ze zásad uživatelů i zásad počítače.

uživatelské jméno nemá žádná data RSOP

S povoleným UAC se při spuštění GPResult bez zvýšených oprávnění zobrazí pouze nastavení pro vlastní sekci zásad skupiny. Pokud potřebujete zobrazit obě sekce (UŽIVATELSKÉ NASTAVENÍ a NASTAVENÍ POČÍTAČE) současně, je nutné příkaz spustit. Pokud se příkazový řádek se zvýšenými oprávněními nachází v jiném systému, než je aktuální uživatel, nástroj vydá varování INFO: Theuživatel"doména\uživatel“dělánemítRSOPdata ( Uživatel 'doména\uživatel' nemá žádná data RSOP). Je to proto, že GPResult se snaží shromáždit informace pro uživatele, který jej spustil, ale protože Tento uživatel se nepřihlásil do systému a pro tohoto uživatele nejsou k dispozici žádné informace RSOP. Chcete-li shromažďovat informace RSOP pro uživatele s aktivní relací, musíte zadat jeho účet:

gpresult /r /user:tn\edward

Pokud neznáte název účtu, který je přihlášen na vzdáleném počítači, můžete účet získat takto:

qwinsta /SERVER:remotePC1

Zkontrolujte také čas(y) na klientovi. Čas se musí shodovat s časem na PDC (Primary Domain Controller).

Následující zásady GPO nebyly použity, protože byly odfiltrovány

Při odstraňování problémů se zásadami skupiny byste také měli věnovat pozornost části: Následující GPO nebyly použity, protože byly odfiltrovány (Následující zásady GPO nebyly použity, protože byly odfiltrovány). Tato část zobrazuje seznam objektů GPO, které se z toho či onoho důvodu na tento objekt nevztahují. Možné možnosti, na které se zásady nemusí vztahovat:

Na kartě Efektivní oprávnění (Upřesnit -> Efektivní přístup) můžete také zjistit, zda se má zásada použít na konkrétní objekt AD.

V tomto článku jsme tedy zhodnotili funkce diagnostiky aplikace skupinových zásad pomocí nástroje GPResult a zhodnotili typické scénáře jeho použití.

Funkčnost v operačním systému Windows Server se počítá a zlepšuje od verze k verzi, rolí a komponent přibývá, proto se v dnešním článku pokusím stručně popsat popis a účel každé role v systému Windows Server 2016.

Než přejdeme k popisu rolí serveru Windows Server, pojďme zjistit, co přesně je " Role serveru» v operačním systému Windows Server.

Co je to „role serveru“ v systému Windows Server?

Role serveru- jedná se o softwarový balík, který zajišťuje výkon určité funkce serveru a tato funkce je hlavní. Jinými slovy, " Role serveru' je cíl serveru, tj. k čemu to je. Aby server mohl plnit svou hlavní funkci, tzn. určitou roli v Role serveru» obsahuje veškerý potřebný software ( programy, služby).

Server může mít jednu roli, pokud je aktivně používán, nebo několik, pokud každá z nich příliš nezatěžuje server a používá se zřídka.

Role serveru může zahrnovat více služeb rolí, které poskytují funkce role. Například v roli serveru " webový server (IIS)“ zahrnuje poměrně velký počet služeb a role “ DNS server» nezahrnuje služby rolí, protože tato role plní pouze jednu funkci.

Služby rolí lze nainstalovat všechny dohromady nebo jednotlivě, v závislosti na vašich potřebách. Instalace role v podstatě znamená instalaci jedné nebo více jejích služeb.

Windows Server má také " Komponenty»server.

Komponenty serveru (funkce) jsou softwarové nástroje, které nejsou rolí serveru, ale rozšiřují možnosti jedné nebo více rolí nebo spravují jednu nebo více rolí.

Některé role nelze nainstalovat, pokud server nemá požadované služby nebo komponenty, které jsou vyžadovány pro fungování rolí. Proto v době instalace takových rolí " Průvodce přidáním rolí a funkcí» vás automaticky vyzve k instalaci nezbytných doplňkových služeb rolí nebo komponent.

Popis rolí serveru Windows Server 2016

Pravděpodobně již znáte mnoho rolí, které jsou v systému Windows Server 2016, protože existují již nějakou dobu, ale jak jsem řekl, s každou novou verzí systému Windows Server se přidávají nové role, se kterými jste možná nepracovali. s, ale rádi bychom věděli, k čemu jsou, tak se na ně pojďme podívat.

Poznámka! O nových funkcích operačního systému Windows Server 2016 si můžete přečíst v materiálu "Instalace Windows Server 2016 a přehled nových funkcí".

Protože k instalaci a správě rolí, služeb a komponent velmi často dochází pomocí Windows PowerShell, uvedu pro každou roli a její službu název, který lze v PowerShellu použít pro její instalaci nebo pro správu.

DHCP server

Tato role vám umožňuje centrálně konfigurovat dynamické IP adresy a související nastavení pro počítače a zařízení ve vaší síti. Role DHCP Server nemá služby rolí.

Název prostředí Windows PowerShell je DHCP.

DNS server

Tato role je určena pro překlad názvů v sítích TCP/IP. Role DNS Server poskytuje a udržuje DNS. Aby se zjednodušila správa serveru DNS, je obvykle nainstalován na stejném serveru jako Active Directory Domain Services. Role DNS Server nemá služby rolí.

Název role pro PowerShell je DNS.

Hyper-V

S rolí Hyper-V můžete vytvářet a spravovat virtualizované prostředí. Jinými slovy, je to nástroj pro vytváření a správu virtuálních strojů.

Název role pro Windows PowerShell je Hyper-V.

Osvědčení o stavu zařízení

Role" » umožňuje vyhodnotit zdravotní stav zařízení na základě naměřených indikátorů bezpečnostních parametrů, jako jsou indikátory stavu bezpečného bootování a Bitlocker na klientovi.

Pro fungování této role je zapotřebí mnoho služeb a komponent rolí, například: několik služeb z role " webový server (IIS)", komponent " ", komponent " Funkce rozhraní .NET Framework 4.6».

Během instalace budou automaticky vybrány všechny požadované služby rolí a funkce. Role " Osvědčení o stavu zařízení» Neexistují žádné služby rolí.

Název pro PowerShell je DeviceHealthAttestationService.

webový server (IIS)

Poskytuje spolehlivou, spravovatelnou a škálovatelnou infrastrukturu webových aplikací. Skládá se z poměrně velkého počtu služeb (43).

Název prostředí Windows PowerShell je Web-Server.

Zahrnuje následující služby rolí ( v závorkách uvedu název prostředí Windows PowerShell):

Webový server (Web-WebServer)- Skupina služeb rolí, která poskytuje podporu pro webové stránky HTML, rozšíření ASP.NET, ASP a webový server. Skládá se z následujících služeb:

• Zabezpečení (Web Security)- soubor služeb pro zajištění bezpečnosti webového serveru.
  • Filtrování požadavků (Web-Filtering) - pomocí těchto nástrojů můžete zpracovávat všechny požadavky přicházející na server a filtrovat tyto požadavky na základě speciálních pravidel nastavených správcem webového serveru;
  • Omezení IP adresy a domény (Web-IP-Security) – tyto nástroje umožňují povolit nebo zakázat přístup k obsahu na webovém serveru na základě IP adresy nebo názvu domény zdroje v požadavku;
  • URL Authorization (Web-Url-Auth) – nástroje umožňují vyvinout pravidla pro omezení přístupu k webovému obsahu a přidružit je k uživatelům, skupinám nebo příkazům HTTP hlaviček;
  • Digest Authentication (Web-Digest-Auth) – Tato autentizace poskytuje vyšší úroveň zabezpečení než základní autentizace. Ověřování algoritmem pro ověřování uživatelů funguje jako předání hash hesla do řadiče domény Windows;
  • Basic Authentication (Web-Basic-Auth) – Tato metoda ověřování poskytuje silnou kompatibilitu webového prohlížeče. Doporučuje se používat v malých vnitřních sítích. Hlavní nevýhodou této metody je, že hesla přenášená po síti lze poměrně snadno zachytit a dešifrovat, proto tuto metodu používejte v kombinaci s SSL;
  • Ověřování Windows (Web-Windows-Auth) je ověřování založené na ověřování domény Windows. Jinými slovy, účty služby Active Directory můžete používat k ověřování uživatelů svých webových stránek;
  • Ověření mapování klientského certifikátu (Web-Client-Auth) – Tato metoda ověřování používá klientský certifikát. Tento typ využívá služby Active Directory k poskytování mapování certifikátů;
  • IIS Client Certificate Mapping Authentication (Web-Cert-Auth) – Tato metoda také používá klientské certifikáty pro ověřování, ale k poskytování mapování certifikátů používá IIS. Tento typ poskytuje lepší výkon;
  • Centralizovaná podpora SSL certifikátů (Web-CertProvider) - tyto nástroje umožňují centrálně spravovat certifikáty SSL serveru, což značně zjednodušuje proces správy těchto certifikátů;
• Servisnost a diagnostika (Web-Health)– sada služeb pro monitorování, správu a odstraňování problémů webových serverů, stránek a aplikací:
  • http logging (Web-Http-Logging) - nástroje zajišťují logování aktivity webu na daném serveru, tzn. záznam protokolu;
  • Protokolování ODBC (Web-ODBC-Logging) – Tyto nástroje také poskytují protokolování aktivity webu, ale podporují protokolování této aktivity do databáze vyhovující ODBC;
  • Monitor požadavků (Web-Request-Monitor) je nástroj, který umožňuje sledovat stav webové aplikace zachycováním informací o požadavcích HTTP v pracovním procesu služby IIS;
  • Vlastní protokolování (Web-Custom-Logging) – Pomocí těchto nástrojů můžete nakonfigurovat protokolování aktivity webového serveru ve formátu, který se výrazně liší od standardního formátu IIS. Jinými slovy, můžete si vytvořit svůj vlastní logovací modul;
  • Nástroje pro protokolování (Web-Log-Libraries) jsou nástroje pro správu protokolů webového serveru a automatizaci úloh protokolování;
  • Trasování (Web-Http-Tracing) je nástroj pro diagnostiku a řešení porušení ve webových aplikacích.
• http Společné funkce (Web-Common-Http)– sada služeb, které poskytují základní funkčnost HTTP:
  • Výchozí dokument (Web-Default-Doc) – Tato funkce umožňuje nakonfigurovat webový server tak, aby vrátil výchozí dokument, když uživatelé neurčí konkrétní dokument v adrese URL požadavku, což uživatelům usnadňuje přístup k webu, například doména, bez určení souboru;
  • Procházení adresářů (Web-Dir-Browsing) – Tento nástroj lze použít ke konfiguraci webového serveru tak, aby uživatelé mohli zobrazit seznam všech adresářů a souborů na webu. Například pro případy, kdy uživatelé neurčí soubor v URL požadavku a výchozí dokumenty jsou buď zakázány, nebo nejsou nakonfigurovány;
  • http chyby (Web-Http-Errors) – tato funkce umožňuje konfigurovat chybové zprávy, které budou vráceny do webových prohlížečů uživatelů, když webový server zjistí chybu. Tento nástroj se používá ke snadnějšímu zobrazování chybových zpráv uživatelům;
  • Statický obsah (Web-Static-Content) – tento nástroj umožňuje používat obsah na webovém serveru ve formě statických formátů souborů, jako jsou soubory HTML nebo soubory obrázků;
  • http redirect (Web-Http-Redirect) - pomocí této funkce můžete přesměrovat požadavek uživatele na konkrétní cíl, tzn. toto je přesměrování;
  • Publikování WebDAV (Web-DAV-Publishing) - umožňuje používat technologii WebDAV na webovém serveru IIS. WebDAV ( Webové distribuované vytváření a verzování) je technologie, která uživatelům umožňuje spolupracovat ( číst, upravovat, číst vlastnosti, kopírovat, přesouvat) přes soubory na vzdálených webových serverech pomocí protokolu HTTP.
• Výkon (výkon webu)- sada služeb pro dosažení vyššího výkonu webového serveru prostřednictvím ukládání do mezipaměti výstupu a běžných kompresních mechanismů, jako jsou Gzip a Deflate:
  • Statická komprese obsahu (Web-Stat-Compression) je nástroj pro přizpůsobení komprese statického obsahu http, umožňuje efektivnější využití šířky pásma a přitom bez zbytečného zatížení CPU;
  • Dynamická komprese obsahu (Web-Dyn-Compression) je nástroj pro konfiguraci komprese dynamického obsahu HTTP. Tento nástroj poskytuje efektivnější využití šířky pásma, ale v tomto případě může zatížení CPU serveru spojené s dynamickou kompresí zpomalit web, pokud je zatížení CPU vysoké i bez komprese.
• Vývoj aplikací (Web-App-Dev)- soubor služeb a nástrojů pro vývoj a hostování webových aplikací, jinými slovy, technologie pro vývoj webových stránek:
  • ASP (Web-ASP) je prostředí pro podporu a vývoj webových stránek a webových aplikací využívajících technologii ASP. V současné době existuje novější a pokročilejší technologie pro vývoj webových stránek - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) je objektově orientované vývojové prostředí pro webové stránky a webové aplikace využívající technologii ASP.NET;
  • ASP.NET 4.6 (Web-Asp-Net45) je také objektově orientované vývojové prostředí pro webové stránky a webové aplikace využívající novou verzi ASP.NET;
  • CGI (Web-CGI) je schopnost používat CGI k předávání informací z webového serveru do externího programu. CGI je druh standardu rozhraní pro připojení externího programu k webovému serveru. Nevýhodou je, že použití CGI ovlivňuje výkon;
  • Server Side Inclusions (SSI) (Web-Includes) je podpora pro skriptovací jazyk SSI ( povolit na straně serveru), který se používá k dynamickému generování HTML stránek;
  • Inicializace aplikace (Web-AppInit) - tento nástroj provádí úkoly inicializace webových aplikací před odesláním webové stránky;
  • Protokol WebSocket (Web-WebSockets) – přidává možnost vytvářet serverové aplikace, které komunikují pomocí protokolu WebSocket. WebSocket je protokol, který dokáže odesílat a přijímat data současně mezi prohlížečem a webovým serverem přes TCP spojení, jakési rozšíření protokolu HTTP;
  • Rozšíření ISAPI (Web-ISAPI-Ext) - podpora dynamického rozvoje webového obsahu pomocí aplikačního programovacího rozhraní ISAPI. ISAPI je rozhraní API pro webový server IIS. Aplikace ISAPI jsou mnohem rychlejší než soubory ASP nebo soubory, které volají součásti COM+;
  • Rozšiřitelnost .NET 3.5 (Web-Net-Ext) je funkce rozšiřitelnosti .NET 3.5, která vám umožňuje upravovat, přidávat a rozšiřovat funkčnost webového serveru v rámci procesu zpracování požadavků, konfigurace a uživatelského rozhraní;
  • Rozšiřitelnost .NET 4.6 (Web-Net-Ext45) je funkce rozšiřitelnosti .NET 4.6, která vám také umožňuje upravovat, přidávat a rozšiřovat funkčnost webového serveru v rámci celého kanálu zpracování požadavků, konfigurace a uživatelského rozhraní;
  • Filtry ISAPI (Web-ISAPI-Filter) – Přidejte podporu pro filtry ISAPI. Filtry ISAPI jsou programy, které jsou volány, když webový server obdrží konkrétní požadavek HTTP, který má být zpracován tímto filtrem.

FTP - server (Web-Ftp-Server)– služby, které poskytují podporu protokolu FTP. Podrobněji jsme o FTP serveru hovořili v materiálu - "Instalace a konfigurace FTP serveru na Windows Server 2016". Obsahuje následující služby:

• Služba FTP (Web-Ftp-Service) - přidává podporu protokolu FTP na webovém serveru;
• Rozšiřitelnost FTP (Web-Ftp-Ext) – rozšiřuje standardní možnosti FTP, jako je přidání podpory pro funkce, jako jsou vlastní poskytovatelé, uživatelé ASP.NET nebo uživatelé správce IIS.

Nástroje pro správu (Web-Mgmt-Tools) jsou nástroje pro správu webového serveru IIS 10. Patří mezi ně: uživatelské rozhraní služby IIS, nástroje příkazového řádku a skripty.

• IIS Management Console (Web-Mgmt-Console) je uživatelské rozhraní pro správu IIS;
• Znakové sady a nástroje pro správu IIS (Web-Scripting-Tools) jsou nástroje a skripty pro správu IIS pomocí příkazového řádku nebo skriptů. Lze je použít například k automatizaci řízení;
• Služba správy (Web-Mgmt-Service) – tato služba přidává možnost vzdálené správy webového serveru z jiného počítače pomocí Správce IIS;
• Správa kompatibility služby IIS 6 (Web-Mgmt-Compat) – Poskytuje kompatibilitu pro aplikace a skripty, které používají dvě rozhraní API služby IIS. Stávající skripty IIS 6 lze použít ke správě webového serveru IIS 10:
  • IIS 6 Compatibility Metabase (Web-Metabase) je nástroj pro kompatibilitu, který umožňuje spouštět aplikace a znakové sady, které byly migrovány z dřívějších verzí IIS;
  • Skriptovací nástroje IIS 6 (Web-Lgcy-Scripting) – Tyto nástroje umožňují používat stejné skriptovací služby IIS 6, které byly vytvořeny pro správu IIS 6 ve službě IIS 10;
  • IIS 6 Management Console (Web-Lgcy-Mgmt-Console) je nástroj pro správu vzdálených serverů IIS 6.0;
  • IIS 6 WMI Compatibility (Web-WMI) jsou skriptovací rozhraní Windows Management Instrumentation (WMI) pro programové řízení a automatizaci úloh webového serveru IIS 10.0 pomocí sady skriptů vytvořených u poskytovatele WMI.

Active Directory Domain Services

Role" Active Directory Domain Services» (AD DS) poskytuje distribuovanou databázi, která ukládá a zpracovává informace o síťových zdrojích. Tato role se používá k uspořádání síťových prvků, jako jsou uživatelé, počítače a další zařízení, do hierarchické zadržovací struktury. Hierarchická struktura zahrnuje doménové struktury, domény v rámci doménové struktury a organizační jednotky (OU) v rámci každé domény. Server se službou AD DS se nazývá řadič domény.

Název role pro Windows PowerShell je AD-Domain-Services.

Režim Windows Server Essentials

Tato role je počítačová infrastruktura a poskytuje pohodlné a efektivní funkce, například: ukládání klientských dat na centralizovaném místě a ochranu těchto dat zálohováním serverových a klientských počítačů, vzdálený webový přístup, který umožňuje přístup k datům prakticky z jakéhokoli zařízení . Tato role vyžaduje několik služeb a funkcí rolí, například: Funkce BranchCache, Zálohování serveru Windows, Správa zásad skupiny, Služba rolí " Jmenné prostory DFS».

Název pro PowerShell je ServerEssentialsRole.

Síťový ovladač

Tato role zavedená v systému Windows Server 2016 poskytuje jediný bod automatizace pro správu, monitorování a diagnostiku fyzické a virtuální síťové infrastruktury v datovém centru. Pomocí této role můžete z jednoho místa konfigurovat IP podsítě, VLAN, fyzické síťové adaptéry hostitelů Hyper-V, spravovat virtuální přepínače, fyzické routery, nastavení firewallu a VPN brány.

Název prostředí Windows PowerShell je NetworkController.

Služba Node Guardian

Toto je role serveru Hosted Guardian Service (HGS) a poskytuje služby atestace a ochrany klíčů, které umožňují chráněným hostitelům spouštět stíněné virtuální stroje. Pro fungování této role je vyžadováno několik dalších rolí a komponent, například: Active Directory Domain Services, Web Server (IIS), Clusterování při selhání" a další.

Název pro PowerShell je HostGuardianServiceRole.

Active Directory Lightweight Directory Services

Role" Active Directory Lightweight Directory Services» (AD LDS) je odlehčená verze služby AD DS, která má méně funkcí, ale nevyžaduje nasazení domén nebo řadičů domény a nemá závislosti a omezení domény vyžadované službou AD DS. Služba AD LDS běží přes protokol LDAP ( Lightweight Directory Access Protocol). Můžete nasadit více instancí služby AD LDS na stejný server s nezávisle spravovanými schématy.

Název pro PowerShell je ADLDS.

Služby MultiPoint

Je to také nová role, která je nová ve Windows Server 2016. MultiPoint Services (MPS) poskytuje základní funkce vzdálené plochy, která umožňuje více uživatelům pracovat současně a nezávisle na stejném počítači. Chcete-li nainstalovat a provozovat tuto roli, musíte nainstalovat několik dalších služeb a komponent, například: Print Server, Windows Search Service, XPS Viewer a další, které budou všechny automaticky vybrány během instalace MPS.

Název role pro PowerShell je MultiPointServerRole.

Windows Server Update Services

S touto rolí (WSUS) mohou správci systému spravovat aktualizace společnosti Microsoft. Můžete například vytvořit samostatné skupiny počítačů pro různé sady aktualizací a také přijímat zprávy o souladu počítačů s požadavky a aktualizacemi, které je třeba nainstalovat. Pro fungování" Windows Server Update Services» Potřebujete takové služby rolí a komponenty jako: Webový server (IIS), interní databáze Windows, služba aktivace procesů Windows.

Název prostředí Windows PowerShell je UpdateServices.

• Připojení WID (UpdateServices-WidDB) – nastavte na WID ( Interní databáze Windows) databáze používaná službou WSUS. Jinými slovy, WSUS bude ukládat svá servisní data do WID;
• Služby WSUS (UpdateServices-Services) jsou služby role WSUS, jako je aktualizační služba, webová služba pro vytváření sestav, webová služba API Remoting, webová služba klienta, webová služba jednoduchého ověřování webu, služba synchronizace serveru a webová služba ověřování DSS;
• SQL Server Connectivity (UpdateServices-DB) je instalace součásti, která umožňuje službě WSUS připojit se k databázi Microsoft SQL Server. Tato možnost umožňuje ukládání servisních dat v databázi Microsoft SQL Server. V tomto případě již musíte mít nainstalovanou alespoň jednu instanci SQL Server.

Multilicenční aktivační služby

S touto rolí serveru můžete automatizovat a zjednodušit vydávání multilicence pro software od společnosti Microsoft a také vám umožňuje tyto licence spravovat.

Název pro PowerShell je VolumeActivation.

Tiskové a dokumentové služby

Tato role serveru je navržena pro sdílení tiskáren a skenerů v síti, pro centrální konfiguraci a správu tiskových a skenovacích serverů a pro správu síťových tiskáren a skenerů. Služby tisku a dokumentů také umožňují odesílat naskenované dokumenty e-mailem, do sdílených síťových složek nebo na weby služby Windows SharePoint Services.

Název pro PowerShell je Print-Services.

• Tiskový server (tiskový server) – Tato služba role zahrnuje „ Správa tisku“, který se používá ke správě tiskáren nebo tiskových serverů a také k migraci tiskáren a dalších tiskových serverů;
• Tisk přes internet (Print-Internet) – Pro implementaci tisku přes internet je vytvořena webová stránka, pomocí které mohou uživatelé spravovat tiskové úlohy na serveru. Aby tato služba fungovala, jak víte, musíte nainstalovat " webový server (IIS)". Všechny požadované součásti budou vybrány automaticky, když zaškrtnete toto políčko během procesu instalace služby role " Internetový tisk»;
• Distribuovaný skenovací server (Print-Scan-Server) je služba, která umožňuje přijímat naskenované dokumenty ze síťových skenerů a odesílat je na místo určení. Tato služba také obsahuje „ Správa skenování“, který se používá ke správě síťových skenerů a ke konfiguraci skenování;
• Služba LPD (Print-LPD-Service) – služba LPD ( Démon řádkové tiskárny) umožňuje počítačům se systémem UNIX a dalším počítačům využívajícím službu Line Printer Remote (LPR) tisknout na sdílené tiskárny serveru.

Síťová politika a přístupové služby

Role" » (NPAS) umožňuje serveru NPS (Network Policy Server) nastavit a vynutit přístup k síti, autentizaci a autorizaci a zásady stavu klienta, jinými slovy zabezpečit síť.

Název prostředí Windows PowerShell je NPAS.

Windows Deployment Services

Pomocí této role můžete vzdáleně instalovat operační systém Windows přes síť.

Název role pro PowerShell je WDS.

• Deployment Server (WDS-Deployment) – tato služba role je určena pro vzdálené nasazení a konfiguraci operačních systémů Windows. Umožňuje také vytvářet a upravovat obrázky pro opětovné použití;
• Transport Server (WDS-Transport) – Tato služba obsahuje základní síťové komponenty, pomocí kterých můžete přenášet data multicastingem na samostatném serveru.

Certifikační služba Active Directory

Tato role je určena k vytváření certifikačních autorit a souvisejících služeb rolí, které vám umožňují vydávat a spravovat certifikáty pro různé aplikace.

Název pro Windows PowerShell je AD-Certificate.

Zahrnuje následující služby rolí:

• Certifikační autorita (ADCS-Cert-Authority) – pomocí této služby role můžete vydávat certifikáty uživatelům, počítačům a službám a také spravovat platnost certifikátu;
• Webová služba Zásady zápisu certifikátu (ADCS-Enroll-Web-Pol) – Tato služba umožňuje uživatelům a počítačům získat informace o zásadách zápisu certifikátů z webového prohlížeče, i když počítač není členem domény. Pro jeho fungování je to nutné webový server (IIS)»;
• Certifikát Enrollment Web Service (ADCS-Enroll-Web-Svc) – Tato služba umožňuje uživatelům a počítačům registrovat a obnovovat certifikáty pomocí webového prohlížeče přes HTTPS, i když počítač není členem domény. Musí také fungovat webový server (IIS)»;
• Online respondér (ADCS-Online-Cert) - Služba je určena pro kontrolu zneplatnění certifikátu pro klienty. Jinými slovy, přijme žádost o stav odvolání pro konkrétní certifikáty, vyhodnotí stav těchto certifikátů a odešle zpět podepsanou odpověď s informacemi o stavu. Aby služba fungovala, je to nutné webový server (IIS)»;
• Služba webového zápisu certifikační autority (ADCS-Web-Enrollment) – Tato služba poskytuje uživatelům webové rozhraní k provádění úkolů, jako je vyžadování a obnova certifikátů, získávání CRL a registrace certifikátů čipových karet. Aby služba fungovala, je to nutné webový server (IIS)»;
• Služba Network Device Enrollment (ADCS-Device-Enrollment) – Pomocí této služby můžete vydávat a spravovat certifikáty pro směrovače a další síťová zařízení, která nemají síťové účty. Aby služba fungovala, je to nutné webový server (IIS)».

Služby vzdálené plochy

Role serveru, kterou lze použít k poskytování přístupu k virtuálním plochám, plochám založeným na relacích a aplikacím RemoteApp.

Název role pro Windows PowerShell je Remote-Desktop-Services.

Skládá se z následujících služeb:

• Webový přístup ke vzdálené ploše (RDS-Web-Access) – Tato služba role umožňuje uživatelům přistupovat ke vzdáleným plochám a aplikacím RemoteApp prostřednictvím „ Start» nebo pomocí webového prohlížeče;
• Licencování vzdálené plochy (RDS-Licensing) – Služba je navržena ke správě licencí, které jsou nutné pro připojení k serveru Hostitel relací vzdálené plochy nebo virtuální ploše. Lze jej použít k instalaci, vydávání licencí a sledování jejich dostupnosti. Tato služba vyžaduje " webový server (IIS)»;
• Zprostředkovatel připojení ke vzdálené ploše (RDS-Connection-Broker) je služba role, která poskytuje následující možnosti: opětovné připojení uživatele ke stávající virtuální ploše, aplikaci RemoteApp a ploše založené na relaci a také vyrovnávání zátěže mezi servery vzdálených hostitelských serverů. nebo mezi sdruženými virtuálními desktopy. Tato služba vyžaduje „ »;
• Hostitel virtualizace vzdálené plochy (DS-Virtualization) – Služba umožňuje uživatelům připojit se k virtuálním plochám pomocí RemoteApp and Desktop Connection. Tato služba funguje ve spojení s Hyper-V, tzn. tato role musí být nainstalována;
• Hostitel relací vzdálené plochy (RDS-RD-Server) – Tato služba může hostovat aplikace RemoteApp a plochy založené na relacích na serveru. Přístup je prostřednictvím klienta Připojení ke vzdálené ploše nebo RemoteApps;
• Brána vzdálené plochy (RDS-Gateway) – Služba umožňuje autorizovaným vzdáleným uživatelům připojit se k virtuálním plochám, aplikacím RemoteApp a plochám založeným na relacích v podnikové síti nebo přes Internet. Tato služba vyžaduje následující doplňkové služby a součásti: webový server (IIS)», « Síťová politika a přístupové služby», « RPC přes HTTP proxy».

AD RMS

Toto je role serveru, která vám umožní chránit informace před neoprávněným použitím. Ověřuje totožnost uživatelů a uděluje licence oprávněným uživatelům pro přístup k chráněným datům. Tato role vyžaduje další služby a komponenty: webový server (IIS)», « Služba aktivace procesů systému Windows», « Funkce rozhraní .NET Framework 4.6».

Název prostředí Windows PowerShell je ADRMS.

• Active Directory Rights Management Server (ADRMS-Server) – služba hlavní role, nutná pro instalaci;
• Podpora federace identit (ADRMS-Identity) je volitelná služba rolí, která umožňuje federovaným identitám využívat chráněný obsah pomocí služby Active Directory Federation Services.

AD FS

Tato role poskytuje webům pomocí prohlížeče zjednodušenou a zabezpečenou federaci identit a funkci jednotného přihlašování (SSO).

Název pro PowerShell je ADFS-Federation.

Vzdálený přístup

Tato role poskytuje konektivitu prostřednictvím DirectAccess, VPN a proxy webové aplikace. Také role Vzdálený přístup"poskytuje tradiční možnosti směrování, včetně překladu síťových adres (NAT) a dalších možností připojení. Tato role vyžaduje další služby a funkce: webový server (IIS)», « Interní databáze Windows».

Název role pro Windows PowerShell je RemoteAccess.

• DirectAccess a VPN (RAS) (DirectAccess-VPN) - služba umožňuje uživatelům kdykoli se připojit k podnikové síti s přístupem k internetu prostřednictvím DirectAccess a také organizovat připojení VPN v kombinaci s technologiemi tunelování a šifrování dat;
• Směrování (Routing) - služba poskytuje podporu pro NAT routery, LAN routery s protokoly BGP, RIP protokoly a routery s podporou multicastu (IGMP proxy);
• Web Application Proxy (Web-Application-Proxy) - Služba umožňuje publikovat aplikace založené na protokolech HTTP a HTTPS z podnikové sítě na klientská zařízení, která jsou mimo podnikovou síť.

Souborové a úložné služby

Toto je role serveru, kterou lze použít ke sdílení souborů a složek, správě a řízení sdílených složek, replikaci souborů, poskytování rychlého vyhledávání souborů a udělování přístupu ke klientským počítačům UNIX. Souborovým službám a zejména souborovému serveru jsme se podrobněji věnovali v materiálu „Instalace souborového serveru (File Server) na Windows Server 2016“.

Název prostředí Windows PowerShell je FileAndStorage-Services.

Skladovací služby- Tato služba poskytuje funkci správy úložiště, která je vždy nainstalována a nelze ji odebrat.

Souborové služby a služby iSCSI (souborové služby) jsou technologie, které zjednodušují správu souborových serverů a úložišť, šetří místo na disku, umožňují replikaci a ukládání souborů do mezipaměti v pobočkách a také umožňují sdílení souborů prostřednictvím protokolu NFS. Zahrnuje následující služby rolí:

• Souborový server (FS-FileServer) – služba role, která spravuje sdílené složky a poskytuje uživatelům přístup k souborům na tomto počítači přes síť;
• Deduplikace dat (FS-Data-Deduplication) – tato služba šetří místo na disku tím, že na svazek ukládá pouze jednu kopii identických dat;
• Správce prostředků souborového serveru (FS-Resource-Manager) – pomocí této služby můžete spravovat soubory a složky na souborovém serveru, vytvářet sestavy úložiště, klasifikovat soubory a složky, konfigurovat kvóty složek a definovat zásady blokování souborů;
• iSCSI Target Storage Provider (VDS a poskytovatelé hardwaru VSS) (iSCSITarget-VSS-VDS) – Služba umožňuje aplikacím na serveru připojeném k cíli iSCSI využívat svazky stínových kopií na virtuálních discích iSCSI;
• Jmenné prostory DFS (FS-DFS-Namespace) - pomocí této služby můžete seskupit sdílené složky hostované na různých serverech do jednoho nebo více logicky strukturovaných jmenných prostorů;
• Pracovní složky (FS-SyncShareService) – služba umožňuje používat pracovní soubory na různých počítačích, včetně pracovních a osobních. Soubory můžete ukládat do pracovních složek, synchronizovat je a přistupovat k nim z místní sítě nebo internetu. Aby služba fungovala, komponenta " IIS In-Process Web Core»;
• Replikace distribuovaného systému souborů (FS-DFS-Replication) je modul replikace dat na více serverech, který umožňuje synchronizovat složky přes připojení LAN nebo WAN. Tato technologie používá protokol Remote Differential Compression (RDC) k aktualizaci pouze části souborů, které se od poslední replikace změnily. Replikaci DFS lze použít s obory názvů DFS nebo bez nich;
• Server pro NFS (FS-NFS-Service) – Služba umožňuje tomuto počítači sdílet soubory s počítači se systémem UNIX a dalšími počítači, které používají protokol NFS (Network File System);
• iSCSI Target Server (FS-iSCSITarget-Server) – poskytuje služby a správu pro cíle iSCSI;
• Služba BranchCache pro síťové soubory (FS-BranchCache) – Služba poskytuje podporu BranchCache na tomto souborovém serveru;
• Služba File Server VSS Agent (FS-VSS-Agent) – Služba umožňuje stínové kopie svazku pro aplikace, které ukládají datové soubory na tento souborový server.

faxový server

Role odesílá a přijímá faxy a umožňuje vám spravovat faxové zdroje, jako jsou úlohy, nastavení, sestavy a faxová zařízení v tomto počítači nebo v síti. Požadováno pro práci Tiskový server».

Název role pro Windows PowerShell je Fax.

Tímto je přehled rolí serveru Windows Server 2016 dokončen, doufám, že pro vás byl materiál prozatím užitečný!

Před vývojem soketového serveru musíte vytvořit server politik, který sdělí Silverlightu, kteří klienti se mohou k soketovému serveru připojit.

Jak je ukázáno výše, Silverlight neumožňuje načítání obsahu nebo volání webové služby, pokud doména nemá clientaccesspolicy .xml nebo soubor crossdomain. xml, kde jsou tyto operace výslovně povoleny. Podobné omezení platí pro soketový server. Pokud nepovolíte klientskému zařízení stáhnout soubor .xml clientaccesspolicy, který umožňuje vzdálený přístup, Silverlight odmítne navázat spojení.

Bohužel poskytování zásad klientského přístupu. cml do aplikace soketu je větší výzvou než poskytování prostřednictvím webové stránky. Při používání webové stránky může software webového serveru poskytovat soubor .xml clientaccesspolicy, jen jej nezapomeňte přidat. Současně, když používáte aplikaci soketu, musíte otevřít soket, ke kterému mohou klientské aplikace přistupovat pomocí požadavků na zásady. Kromě toho musíte ručně vytvořit kód, který obsluhuje soket. Chcete-li provést tyto úkoly, musíte vytvořit server politik.

V následujícím si ukážeme, že server politik funguje stejným způsobem jako server zpráv, pouze zpracovává o něco jednodušší interakce. Servery zpráv a zásady lze vytvářet samostatně nebo je kombinovat v jedné aplikaci. Ve druhém případě musí naslouchat požadavkům na různá vlákna. V tomto příkladu vytvoříme server politik a poté jej zkombinujeme se serverem zpráv.

Chcete-li vytvořit server zásad, musíte nejprve vytvořit aplikaci .NET. Jakýkoli typ aplikace .NET může sloužit jako server politik. Nejjednodušší způsob je použít konzolovou aplikaci. Po odladění konzolové aplikace můžete svůj kód přesunout do služby Windows, aby po celou dobu běžela na pozadí.

Soubor zásad

Následuje soubor zásad poskytovaný serverem zásad.

Soubor zásad definuje tři pravidla.

Umožňuje přístup ke všem portům od 4502 do 4532 (toto je celá řada portů podporovaných doplňkem Silverlight). Chcete-li změnit rozsah dostupných portů, změňte hodnotu atributu port prvku.

Umožňuje TCP přístup (oprávnění je definováno v atributu protokolu prvku).

Umožňuje volání z libovolné domény. Aplikaci Silverlight, která naváže spojení, proto může hostovat jakýkoli web. Chcete-li toto pravidlo změnit, musíte upravit atribut uri prvku.

Pro usnadnění jsou pravidla zásad umístěna v souboru clientaccess-ploi.cy.xml, který je přidán do projektu. V sadě Visual Studio musí být parametr Copy to Output Directory souboru zásad nastaven na Cop Always. stačí najít soubor na pevném disku, otevřít jej a vrátit obsah do klientského zařízení.

Třída PolicyServer

Funkčnost serveru politik je založena na dvou klíčových třídách: PolicyServer a PolicyConnection. Třída PolicyServer zpracovává čekání na připojení. Když obdrží připojení, předá řízení nové instanci třídy PoicyConnection, která předá soubor zásad klientovi. Tento dvoudílný postup je běžný v síťovém programování. Při práci se servery zpráv to uvidíte více než jednou.

Třída PolicyServer načte soubor zásad z pevného disku a uloží jej do pole jako pole bajtů.

veřejná třída PolicyServer

politika soukromých bajtů;

public PolicyServer(string policyFile) (

Chcete-li začít naslouchat, musí serverová aplikace zavolat PolicyServer. Start(). Vytvoří objekt TcpListener, který naslouchá požadavkům. Objekt TcpListener je nakonfigurován tak, aby naslouchal na portu 943. V Silverlight je tento port vyhrazen pro servery politik. Při vytváření požadavků na soubory zásad je aplikace Silverlight automaticky směruje na port 943.

soukromý posluchač TcpListener;

public void Start()

// Vytvořte posluchače

posluchač = new TcpListener(IPAddress.Any, 943);

// Začněte poslouchat; metoda Start() vrací II ihned po volání listener.Start();

// Čekání na připojení; metoda se okamžitě vrátí;

II čekání se provádí v samostatném vlákně

Aby přijal nabízené připojení, server politik zavolá metodu BeginAcceptTcpClient(). Stejně jako všechny metody Beginxxx() frameworku .NET se vrací ihned po zavolání a provádí potřebné operace v samostatném vláknu. Pro síťové aplikace je to velmi významný faktor, protože umožňuje zpracovat mnoho požadavků na soubory zásad současně.

Poznámka. Začínající síťoví programátoři se často diví, jak může být zpracováno více požadavků současně, a myslí si, že to vyžaduje několik serverů. Nicméně není. S tímto přístupem by klientským aplikacím rychle došly dostupné porty. V praxi serverové aplikace zpracovávají mnoho požadavků prostřednictvím jediného portu. Tento proces je pro aplikace neviditelný, protože vestavěný subsystém TCP v systému Windows automaticky identifikuje zprávy a směruje je do příslušných objektů v kódu aplikace. Každé připojení je jednoznačně identifikováno na základě čtyř parametrů: adresa IP klienta, číslo portu klienta, adresa IP serveru a číslo portu serveru.

Při každém požadavku je aktivována metoda zpětného volání OnAcceptTcpClient(). Znovu zavolá metodu BeginAcceptTcpClient O, aby se začalo čekat na další požadavek v jiném vláknu, a poté začne zpracovávat aktuální požadavek.

public void OnAcceptTcpClient(IAsyncResult ar) (

if (isStopped) return;

Console.WriteLine("Požadavek zásad přijat."); // Čekání na další připojení.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Obsluha aktuálního připojení.

Klient TcpClient = posluchač.EndAcceptTcpClient(ar); PolicyConnection policyConnection = nové PolicyConnection(klient, politika); policyConnection.HandleRequest() ;

chytit (chyba výjimky) (

Pokaždé, když je přijato nové připojení, je vytvořen nový objekt PolicyConnection, který jej zpracovává. Kromě toho objekt PolicyConnection udržuje soubor zásad.

Poslední komponentou třídy PolicyServer je metoda Stop(), která zastavuje čekání na požadavky. Aplikace jej zavolá, když se ukončí.

private bool isStopped;

public void StopO(

isStopped = true;

posluchač. stop();

chytit (chyba výjimky) (

Console.WriteLine(err.Message);

Následující kód se používá v metodě Main() aplikačního serveru ke spuštění serveru politik.

static void Main(string args) (

PolicyServer policyServer = nový PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("Server zásad spuštěn."); Console.WriteLine("Stiskněte klávesu Enter pro ukončení.");

// Čekání na stisk klávesy; pomocí metody // Console.ReadKey() ji můžete nastavit tak, aby čekala na konkrétní // řádek (například quit) nebo stiskněte libovolnou klávesu Console.ReadLine();

policyServer.Stop();

Console.WriteLine("Ukončit server zásad.");

Třída PolicyConnection

Třída PolicyConnection provádí jednodušší úlohu. Objekt PolicyConnection ukládá odkaz na data souboru zásad. Poté, co je zavolána metoda HandleRequest(), objekt PolicyConnection načte nové připojení ze síťového proudu a pokusí se jej přečíst. Klientské zařízení musí odeslat řetězec obsahující text. Po přečtení tohoto textu klientské zařízení zapíše data zásad do streamu a uzavře spojení. Následuje kód třídy PolicyConnection.

veřejná třída PolicyConnection(

soukromý klient TcpClient; politika soukromých bajtů;

public PolicyConnection(klient TcpClient, bajtová politika) (

this.client = klient; this.policy = politika;

// Vytvoření soukromého statického řetězce požadavku klienta policyRequestString = "

public void HandleRequest()(

Stream s = client.GetStream(); // Čtení řetězce dotazu zásady

byte buffer = nový byte;

// Počkejte pouze 5 sekund client.ReceiveTimeout = 5000;'

s.Read(buffer, 0, buffer.Length);

// Předejte politiku (můžete také zkontrolovat, zda má požadavek na politiku // požadovaný obsah) s.Write(policy, 0, policy.Length);

// Zavřete připojení client.Close();

Console.WriteLine("Soubor zásad poskytován.");

Máme tedy plně funkční server zásad. Bohužel jej zatím nelze otestovat, protože doplněk Silverlight neumožňuje explicitní vyžádání souborů zásad. Místo toho je automaticky požaduje při pokusu o použití aplikace soketu. Než budete moci vytvořit klientskou aplikaci pro tuto aplikaci soketu, musíte vytvořit server.

Pokračování v tématu:

Nové články

Nástroj GPResult.exe– je konzolová aplikace určená k analýze nastavení a diagnostice skupinových zásad, které jsou aplikovány na počítač a/nebo uživatele v doméně Active Directory. GPResult umožňuje zejména získat data z výsledné sady politik (Resultant Set of Policy, RSOP), seznam aplikovaných doménových politik (GPO), jejich nastavení a podrobné informace o jejich chybách zpracování. Nástroj je součástí operačního systému Windows již od dob Windows XP. Nástroj GPResult vám umožňuje odpovědět na otázky, jako je například to, zda se určitá zásada vztahuje na počítač, který objekt GPO změnil konkrétní nastavení systému Windows, a zjistit důvody.

V tomto článku se podíváme na specifika použití příkazu GPResult k diagnostice a ladění aplikace skupinových zásad v doméně Active Directory.

Zpočátku byla pro diagnostiku aplikace skupinových zásad ve Windows využívána grafická konzole RSOP.msc, která umožňovala získat nastavení výsledných politik (doména + místní) aplikovaných na počítač a uživatele v grafické podobě podobné konzole editoru GPO (níže v příkladu zobrazení konzoly RSOP.msc vidíte, že je nastaveno nastavení aktualizace).

Konzolu RSOP.msc v moderních verzích Windows však není praktické používat, protože neodráží nastavení aplikovaná různými rozšířeními na straně klienta (CSE), jako je GPP (Group Policy Preferences), neumožňuje vyhledávání, poskytuje málo diagnostických informací. V tuto chvíli je tedy právě příkaz GPResult hlavním nástrojem pro diagnostiku použití GPO ve Windows (ve Windows 10 je dokonce varování, že RSOP na rozdíl od GPResult nedává kompletní zprávu).

Pomocí nástroje GPResult.exe

Příkaz GPResult se spustí v počítači, na kterém chcete otestovat aplikaci zásad skupiny. Příkaz GPResult má následující syntaxi:

GPRESULT ]] [(/X | /H)<имя_файла> ]

Chcete-li získat podrobné informace o zásadách skupiny, které se vztahují na daný objekt AD (uživatel a počítač) a další nastavení související s infrastrukturou GPO (tj. výsledná nastavení zásad GPO - RsoP), spusťte příkaz:

Výsledky provádění příkazu jsou rozděleny do 2 částí:

• POČÍTAČ NASTAVENÍ (Konfigurace počítače) – sekce obsahuje informace o objektech GPO, které ovlivňují počítač (jako objekt Active Directory);
• UŽIVATEL NASTAVENÍ – uživatelská část zásad (zásady, které se vztahují na uživatelský účet v AD).

Pojďme si stručně projít hlavní parametry/sekce, které nás mohou ve výstupu GPResult zajímat:

• místonázev(Název stránky:) - název stránky AD, na které se počítač nachází;
• CN– úplný kanonický uživatel/počítač, pro který byla generována data RSoP;
• PosledníčasskupinaPolitikabylaplikovaný(Naposledy použitá skupinová politika) – čas, kdy byly naposledy použity skupinové zásady;
• skupinaPolitikabylaplikovanýz(Zásady skupiny byly použity z) – řadič domény, ze kterého byla načtena nejnovější verze objektu GPO;
• Doménanázeva Doménatyp(Název domény, typ domény) – název a verze schématu domény Active Directory;
• AplikovanýskupinaPolitikaObjekty(Použité GPO)– seznamy objektů aktivních zásad skupiny;
• TheNásledujícíGPObylineaplikovanýprotožeonybylifiltrovanýven(Následující zásady GPO nebyly použity, protože byly filtrovány) - nepoužité (filtrované) GPO;
• Theuživatel/počítačjeAčástzaNásledujícíbezpečnostnískupiny(Uživatel/počítač je členem následujících skupin zabezpečení) – Skupiny domén, kterých je uživatel členem.

V našem příkladu můžete vidět, že objekt uživatele je ovlivněn 4 zásadami skupiny.

• Výchozí zásady domény;
• Povolit bránu Windows Firewall;
• Seznam hledání přípon DNS

Pokud nechcete, aby konzole zobrazovala informace o zásadách uživatelů i zásadách počítače současně, můžete pomocí volby /scope zobrazit pouze sekci, která vás zajímá. Pouze výsledné uživatelské zásady:

gpresult /r /scope:user

nebo pouze aplikované zásady stroje:

gpresult /r /scope:computer

Protože Obslužný program Gpresult odesílá svá data přímo do konzole příkazového řádku, což není vždy vhodné pro následnou analýzu; jeho výstup lze přesměrovat do schránky:

gpresult /r |klip

nebo textový soubor:

gpresult /r > c:\gpresult.txt

Chcete-li zobrazit velmi podrobné informace RSOP, přidejte přepínač /z.

HTML RSOP report pomocí GPResult

Kromě toho může nástroj GPResult generovat zprávu HTML o použitých zásadách výsledků (dostupné ve Windows 7 a vyšších). Tato sestava bude obsahovat podrobné informace o všech nastaveních systému, která jsou nastavena zásadami skupiny, a názvy konkrétních objektů GPO, které je nastavují (výsledná sestava o struktuře se podobá kartě Nastavení v Konzole pro správu zásad skupiny domény - GPMC). Hlášení HTML GPResult můžete vygenerovat pomocí příkazu:

GPResult /h c:\gp-report\report.html /f

Chcete-li vygenerovat sestavu a automaticky ji otevřít v prohlížeči, spusťte příkaz:

GPResult /h GPResult.html & GPResult.html

Zpráva gpresult HTML obsahuje poměrně mnoho užitečných informací: jsou viditelné chyby aplikace GPO, doba zpracování (v ms) a aplikace specifických zásad a CSE (v části Podrobnosti o počítači -> Stav součásti). Například na výše uvedeném snímku obrazovky můžete vidět, že zásada s nastavením, které si pamatuje 24 hesel, je aplikována výchozí zásadou domény (sloupec Vítězný GPO). Jak vidíte, taková HTML sestava je pro analýzu použitých zásad mnohem pohodlnější než konzola rsop.msc.

Získávání dat GPResult ze vzdáleného počítače

GPResult může také shromažďovat data ze vzdáleného počítače, čímž eliminuje potřebu, aby se správce přihlašoval lokálně nebo RDP ke vzdálenému počítači. Formát příkazu pro sběr dat RSOP ze vzdáleného počítače je následující:

GPResult /s server-ts1 /r

Podobně můžete vzdáleně shromažďovat data ze zásad uživatelů i zásad počítače.

uživatelské jméno nemá žádná data RSOP

Je-li povoleno UAC, spuštění GPResult bez zvýšených oprávnění zobrazí pouze nastavení pro vlastní sekci zásad skupiny. Pokud potřebujete zobrazit obě sekce (UŽIVATELSKÉ NASTAVENÍ a NASTAVENÍ POČÍTAČE) současně, je nutné příkaz spustit. Pokud se příkazový řádek se zvýšenými oprávněními nachází v jiném systému, než je aktuální uživatel, nástroj vydá varování INFO: Theuživatel"doména\uživatel“dělánemítRSOPdata ( Uživatel 'doména\uživatel' nemá žádná data RSOP). Je to proto, že GPResult se snaží shromáždit informace pro uživatele, který jej spustil, ale protože Tento uživatel se nepřihlásil do systému a pro tohoto uživatele nejsou k dispozici žádné informace RSOP. Chcete-li shromažďovat informace RSOP pro uživatele s aktivní relací, musíte zadat jeho účet:

gpresult /r /user:tn\edward

Pokud neznáte název účtu, který je přihlášen na vzdáleném počítači, můžete účet získat takto:

qwinsta /SERVER:remotePC1

Zkontrolujte také čas(y) na klientovi. Čas se musí shodovat s časem na PDC (Primary Domain Controller).

Následující zásady GPO nebyly použity, protože byly odfiltrovány

Při odstraňování problémů se zásadami skupiny byste také měli věnovat pozornost části: Následující GPO nebyly použity, protože byly odfiltrovány (Následující zásady GPO nebyly použity, protože byly odfiltrovány). Tato část zobrazuje seznam objektů GPO, které se z toho či onoho důvodu na tento objekt nevztahují. Možné možnosti, na které se zásady nemusí vztahovat:

Na kartě Efektivní oprávnění (Upřesnit -> Efektivní přístup) můžete také zjistit, zda se má zásada použít na konkrétní objekt AD.

V tomto článku jsme tedy zhodnotili funkce diagnostiky aplikace skupinových zásad pomocí nástroje GPResult a zhodnotili typické scénáře jeho použití.

Přednáška 4 Server síťových zásad: RADIUS Server, RADIUS Proxy a Security Policy Server

Přednáška 4

Téma: Network Policy Server: RADIUS Server, RADIUS Proxy a Network Access Protection Policy Server

Úvod

Windows Server 2008 a Windows Server 2008 R2 jsou pokročilé operační systémy Windows Server navržené pro napájení nové generace sítí, aplikací a webových služeb. S těmito operačními systémy můžete navrhovat, dodávat a spravovat flexibilní a všudypřítomné uživatelské a aplikační prostředí, budovat vysoce zabezpečené síťové infrastruktury a zvyšovat efektivitu technologií a organizaci ve vaší organizaci.

Server síťových zásad

Network Policy Server umožňuje vytvářet a vynucovat zásady přístupu k síti v celé organizaci, aby bylo zajištěno zdraví klienta a autentizovány a autorizovány požadavky na připojení. Server NPS můžete také použít jako server proxy RADIUS k předávání požadavků na připojení na server NPS nebo jiné servery RADIUS nakonfigurované ve skupinách vzdálených serverů RADIUS.

Server síťových zásad umožňuje centrálně konfigurovat a spravovat zásady ověřování, autorizace a stavu klientského síťového přístupu pomocí následujících tří možností:

server RADIUS. NPS centrálně zpracovává ověřování, autorizaci a účtování pro bezdrátová připojení, ověřená připojení přepínačů, telefonická připojení a připojení k virtuální privátní síti (VPN). Při použití serveru NPS jako serveru RADIUS jsou servery pro přístup k síti, jako jsou bezdrátové přístupové body a servery VPN, nakonfigurovány jako klienti RADIUS na serveru NPS. Konfiguruje také zásady sítě, které server NPS používá k autorizaci požadavků na připojení. Kromě toho můžete nakonfigurovat účtování RADIUS tak, aby byly informace protokolovány serverem NPS pro protokolování souborů uložených na místním pevném disku nebo v databázi Microsoft SQL Server.

Proxy RADIUS. Pokud se server NPS používá jako server proxy RADIUS, musíte nakonfigurovat zásady požadavků na připojení, které určují, které požadavky na připojení bude server NPS předávat jiným serverům RADIUS a které konkrétní servery RADIUS budou tyto požadavky předávat. Server NPS lze také nakonfigurovat tak, aby přesměroval přihlašovací údaje, které mají být uloženy na jednom nebo více počítačích ve vzdálené skupině serverů RADIUS.

Server zásad NAP (Network Access Protection). Když je server NPS nakonfigurován jako server zásad NAP, vyhodnocuje NPS stavy odesílané klientskými počítači s podporou NAP, které se pokoušejí připojit k síti. Network Policy Server nakonfigurovaný s Network Access Protection funguje jako server RADIUS, který ověřuje a autorizuje požadavky na připojení. Server zásad sítě umožňuje konfigurovat zásady a nastavení ochrany přístupu k síti, včetně skupin Kontrola stavu systému, Zásady stavu a Aktualizační server, které zajišťují aktualizaci klientských počítačů v souladu se síťovými zásadami organizace.

Na serveru síťových zásad můžete nakonfigurovat libovolnou kombinaci funkcí uvedených výše. NPS může například fungovat jako server zásad NAP pomocí jedné nebo více metod vynucení, zatímco funguje jako server RADIUS pro vytáčená připojení a RADIUS proxy pro předávání některých požadavků na připojení skupině vzdálených serverů RADIUS, což umožňuje autentizaci a autorizaci v jiné doméně.

Server RADIUS a proxy RADIUS

NPS lze použít jako server RADIUS, proxy server RADIUS nebo obojí.

server RADIUS

Microsoft NPS je implementován v souladu se standardem RADIUS popsaným v IETF RFC 2865 a RFC 2866. Jako server RADIUS NPS centrálně provádí ověřování, autorizaci a účtování připojení pro různé typy síťového přístupu, včetně bezdrátového přístupu, přepínání s ověřováním, vytáčení -up a VPN přístup a spojení mezi routery.

Network Policy Server umožňuje používat heterogenní sadu zařízení pro bezdrátový přístup, vzdálený přístup, sítě VPN a přepínání. Server síťových zásad lze používat se službou Směrování a vzdálený přístup, která je k dispozici v operačních systémech Microsoft Windows 2000 Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition a Windows Server 2003, Datacenter Edition.

Pokud je počítač NPS členem domény Active Directory®, server NPS používá tuto adresářovou službu jako databázi uživatelských účtů a je součástí řešení jednotného přihlašování. Stejná sada přihlašovacích údajů se používá k řízení přístupu k síti (ověření a autorizaci přístupu k síti) ak přihlášení k doméně Active Directory.

ISP a organizace, které poskytují přístup k síti, čelí složitějším výzvám správy všech typů sítí z jediného místa správy, bez ohledu na použité zařízení pro přístup k síti. Standard RADIUS podporuje tuto funkci v homogenních i heterogenních prostředích. Protokol RADIUS je protokol klient/server, který umožňuje zařízení pro přístup k síti (fungujícímu jako klienti RADIUS) odesílat požadavky na ověřování a účtování na server RADIUS.

Server RADIUS má přístup k informacím o uživatelském účtu a může při ověřování ověřovat přihlašovací údaje a udělovat přístup k síti. Pokud jsou přihlašovací údaje uživatele autentické a pokus o připojení je autorizován, server RADIUS autorizuje přístup tohoto uživatele na základě zadaných podmínek a zaznamenává informace o připojení. Použití protokolu RADIUS umožňuje shromažďování a udržování autentizačních, autorizačních a účetních informací na jediném místě namísto toho, aby je bylo nutné provádět na každém přístupovém serveru.

Proxy RADIUS

Jako proxy server RADIUS předává server NPS ověřovací a účetní zprávy na jiné servery RADIUS.

Pomocí NPS mohou organizace outsourcovat svou infrastrukturu vzdáleného přístupu poskytovateli služeb a zároveň si zachovat kontrolu nad ověřováním uživatelů, autorizací a účtováním.

Konfigurace NPS lze vytvořit pro následující scénáře:

Bezdrátový přístup

Telefonické připojení nebo připojení k virtuální privátní síti v organizaci.

Vzdálený přístup nebo bezdrátový přístup poskytovaný externí organizací

Přístup na internet

Ověřený přístup k externím síťovým zdrojům pro obchodní partnery

Příklady konfigurace serveru RADIUS a proxy serveru RADIUS

Následující příklady konfigurace ukazují, jak nakonfigurovat server NPS jako server RADIUS a proxy RADIUS.

NPS jako server RADIUS. V tomto příkladu je server NPS nakonfigurován jako server RADIUS, jedinou nakonfigurovanou zásadou je výchozí zásada požadavků na připojení a všechny požadavky na připojení zpracovává místní server NPS. Server NPS může ověřovat a autorizovat uživatele, jejichž účty jsou v doméně serveru nebo v důvěryhodných doménách.

NPS jako proxy RADIUS. V tomto příkladu je server NPS nakonfigurován jako server proxy RADIUS, který předává požadavky na připojení skupinám vzdálených serverů RADIUS ve dvou různých nedůvěryhodných doménách. Výchozí zásada žádostí o připojení je odstraněna a nahrazena dvěma novými zásadami žádostí o připojení, které přesměrovávají požadavky na každou ze dvou nedůvěryhodných domén. V tomto příkladu server NPS nezpracovává požadavky na připojení na místním serveru.

NPS jako server RADIUS i proxy RADIUS. Kromě výchozí zásady požadavků na připojení, která zpracovává požadavky lokálně, je vytvořena nová zásada požadavků na připojení, která je přesměruje na server NPS nebo jiný server RADIUS v nedůvěryhodné doméně. Druhá zásada se nazývá Proxy. V tomto příkladu se zásada proxy zobrazí jako první v seřazeném seznamu zásad. Pokud požadavek na připojení odpovídá zásadě proxy, je požadavek na připojení předán serveru RADIUS ve skupině vzdálených serverů RADIUS. Pokud požadavek na připojení neodpovídá zásadám proxy, ale odpovídá výchozí zásadě požadavku na připojení, server NPS zpracuje požadavek na připojení na místním serveru. Pokud požadavek na připojení neodpovídá žádné z těchto zásad, bude zamítnut.

NPS jako server RADIUS se vzdálenými účetními servery. V tomto příkladu není místní server NPS nakonfigurován pro účtování a výchozí zásada požadavku na připojení je změněna tak, aby zprávy účtování RADIUS byly předávány na server NPS nebo jiný server RADIUS ve skupině vzdálených serverů RADIUS. Přestože jsou zprávy o účtování přeposílány, zprávy o ověřování a autorizaci se nepředávají a o příslušnou funkčnost pro místní doménu a všechny důvěryhodné domény se stará místní server NPS.

NPS se vzdáleným mapováním uživatelů RADIUS na Windows. V tomto příkladu funguje server NPS jako server RADIUS i jako proxy server RADIUS pro každý jednotlivý požadavek na připojení, přesměruje požadavek na ověření na vzdálený server RADIUS a zároveň autorizuje pomocí místního uživatelského účtu Windows. Tato konfigurace je implementována nastavením uživatelského atributu Remote RADIUS Server Mapping to Windows jako podmínky zásady požadavku na připojení. (Kromě toho musíte vytvořit místní uživatelský účet na serveru RADIUS se stejným názvem jako vzdálený účet, proti kterému se vzdálený server RADIUS ověří.)

Server zásad ochrany přístupu k síti

Ochrana přístupu k síti je součástí systému Windows Vista®, Windows® 7, Windows Server® 2008 a Windows Server® 2008 R2. Pomáhá chránit přístup k privátním sítím tím, že zajišťuje, aby klientské počítače vyhovovaly zásadám stavu platným v síti organizace, když těmto klientům umožňuje přístup k síťovým zdrojům. Soulad klientského počítače se zásadami stavu definovanými správcem je navíc monitorován pomocí Network Access Protection, když je klientský počítač připojen k síti. Díky možnosti automatické aktualizace Network Access Protection mohou být nevyhovující počítače automaticky aktualizovány podle zásad stavu, aby jim později mohl být udělen přístup k síti.

Správci systému definují zásady stavu sítě a vytvářejí tyto zásady pomocí komponent NAP, které jsou dostupné z NPS nebo dodávané jinými společnostmi (v závislosti na implementaci NAP).

Zásady stavu mohou mít vlastnosti, jako jsou požadavky na software, požadavky na aktualizace zabezpečení a požadavky na nastavení konfigurace. Network Access Protection vynucuje zásady stavu tím, že kontroluje a vyhodnocuje stav klientských počítačů, omezuje přístup k síti nevyhovujícím počítačům a opravuje nekonzistenci, aby byl zajištěn neomezený přístup k síti.

Funkčnost v operačním systému Windows Server se počítá a zlepšuje od verze k verzi, rolí a komponent přibývá, proto se v dnešním článku pokusím stručně popsat popis a účel každé role v systému Windows Server 2016.

Než přejdeme k popisu rolí serveru Windows Server, pojďme zjistit, co přesně je " Role serveru» v operačním systému Windows Server.

Co je to „role serveru“ v systému Windows Server?

Role serveru- jedná se o softwarový balík, který zajišťuje výkon určité funkce serveru a tato funkce je hlavní. Jinými slovy, " Role serveru“ je účelem serveru, tzn. k čemu to je. Aby server mohl plnit svou hlavní funkci, tzn. určitou roli v Role serveru» obsahuje veškerý potřebný software ( programy, služby).

Server může mít jednu roli, pokud je aktivně používán, nebo několik, pokud každá z nich příliš nezatěžuje server a používá se zřídka.

Role serveru může zahrnovat více služeb rolí, které poskytují funkce role. Například v roli serveru " webový server (IIS)“ zahrnuje poměrně velký počet služeb a role “ DNS server» nezahrnuje služby rolí, protože tato role plní pouze jednu funkci.

Služby rolí lze nainstalovat všechny dohromady nebo jednotlivě, v závislosti na vašich potřebách. Instalace role v podstatě znamená instalaci jedné nebo více jejích služeb.

Windows Server má také " Komponenty»server.

Komponenty serveru (funkce) jsou softwarové nástroje, které nejsou rolí serveru, ale rozšiřují možnosti jedné nebo více rolí nebo spravují jednu nebo více rolí.

Některé role nelze nainstalovat, pokud server nemá požadované služby nebo komponenty, které jsou vyžadovány pro fungování rolí. Proto v době instalace takových rolí " Průvodce přidáním rolí a funkcí» vás automaticky vyzve k instalaci nezbytných doplňkových služeb rolí nebo komponent.

Popis rolí serveru Windows Server 2016

Pravděpodobně již znáte mnoho rolí, které jsou v systému Windows Server 2016, protože existují již nějakou dobu, ale jak jsem řekl, s každou novou verzí systému Windows Server se přidávají nové role, se kterými jste možná nepracovali. s, ale rádi bychom věděli, k čemu jsou, tak se na ně pojďme podívat.

Poznámka! O nových funkcích operačního systému Windows Server 2016 si můžete přečíst v materiálu "Instalace Windows Server 2016 a přehled nových funkcí".

Protože k instalaci a správě rolí, služeb a komponent velmi často dochází pomocí Windows PowerShell, uvedu pro každou roli a její službu název, který lze v PowerShellu použít pro její instalaci nebo pro správu.

DHCP server

Tato role vám umožňuje centrálně konfigurovat dynamické IP adresy a související nastavení pro počítače a zařízení ve vaší síti. Role DHCP Server nemá služby rolí.

Název prostředí Windows PowerShell je DHCP.

DNS server

Tato role je určena pro překlad názvů v sítích TCP/IP. Role DNS Server poskytuje a udržuje DNS. Aby se zjednodušila správa serveru DNS, je obvykle nainstalován na stejném serveru jako Active Directory Domain Services. Role DNS Server nemá služby rolí.

Název role pro PowerShell je DNS.

Hyper-V

S rolí Hyper-V můžete vytvářet a spravovat virtualizované prostředí. Jinými slovy, je to nástroj pro vytváření a správu virtuálních strojů.

Název role pro Windows PowerShell je Hyper-V.

Osvědčení o stavu zařízení

Role" » umožňuje vyhodnotit zdravotní stav zařízení na základě naměřených indikátorů bezpečnostních parametrů, jako jsou indikátory stavu bezpečného bootování a Bitlocker na klientovi.

Pro fungování této role je zapotřebí mnoho služeb a komponent rolí, například: několik služeb z role " webový server (IIS)", komponent " ", komponent " Funkce rozhraní .NET Framework 4.6».

Během instalace budou automaticky vybrány všechny požadované služby rolí a funkce. Role " Osvědčení o stavu zařízení» Neexistují žádné služby rolí.

Název pro PowerShell je DeviceHealthAttestationService.

webový server (IIS)

Poskytuje spolehlivou, spravovatelnou a škálovatelnou infrastrukturu webových aplikací. Skládá se z poměrně velkého počtu služeb (43).

Název prostředí Windows PowerShell je Web-Server.

Zahrnuje následující služby rolí ( v závorkách uvedu název prostředí Windows PowerShell):

Webový server (Web-WebServer)- Skupina služeb rolí, která poskytuje podporu pro webové stránky HTML, rozšíření ASP.NET, ASP a webový server. Skládá se z následujících služeb:

• Zabezpečení (Web Security)- soubor služeb pro zajištění bezpečnosti webového serveru.
  • Filtrování požadavků (Web-Filtering) - pomocí těchto nástrojů můžete zpracovávat všechny požadavky přicházející na server a filtrovat tyto požadavky na základě speciálních pravidel nastavených správcem webového serveru;
  • Omezení IP adresy a domény (Web-IP-Security) – tyto nástroje umožňují povolit nebo zakázat přístup k obsahu na webovém serveru na základě IP adresy nebo názvu domény zdroje v požadavku;
  • URL Authorization (Web-Url-Auth) – nástroje umožňují navrhnout pravidla pro omezení přístupu k webovému obsahu a přidružit je k uživatelům, skupinám nebo příkazům HTTP hlavičky;
  • Digest Authentication (Web-Digest-Auth) – Tato autentizace poskytuje vyšší úroveň zabezpečení než základní autentizace. Ověřování algoritmem pro ověřování uživatelů funguje jako předání hash hesla do řadiče domény Windows;
  • Basic Authentication (Web-Basic-Auth) – Tato metoda ověřování poskytuje silnou kompatibilitu webového prohlížeče. Doporučuje se používat v malých vnitřních sítích. Hlavní nevýhodou této metody je, že hesla přenášená po síti lze poměrně snadno zachytit a dešifrovat, proto tuto metodu používejte v kombinaci s SSL;
  • Ověřování Windows (Web-Windows-Auth) je ověřování založené na ověřování domény Windows. Jinými slovy, účty služby Active Directory můžete používat k ověřování uživatelů svých webových stránek;
  • Ověření mapování klientského certifikátu (Web-Client-Auth) – Tato metoda ověřování používá klientský certifikát. Tento typ využívá služby Active Directory k poskytování mapování certifikátů;
  • IIS Client Certificate Mapping Authentication (Web-Cert-Auth) – Tato metoda také používá klientské certifikáty pro ověřování, ale k poskytování mapování certifikátů používá IIS. Tento typ poskytuje lepší výkon;
  • Centralizovaná podpora SSL certifikátů (Web-CertProvider) - tyto nástroje umožňují centrálně spravovat certifikáty SSL serveru, což značně zjednodušuje proces správy těchto certifikátů;
• Servisnost a diagnostika (Web-Health)– sada služeb pro monitorování, správu a odstraňování problémů webových serverů, stránek a aplikací:
  • http logging (Web-Http-Logging) - nástroje zajišťují logování aktivity webu na daném serveru, tzn. záznam protokolu;
  • Protokolování ODBC (Web-ODBC-Logging) – Tyto nástroje také poskytují protokolování aktivity webu, ale podporují protokolování této aktivity do databáze vyhovující ODBC;
  • Monitor požadavků (Web-Request-Monitor) je nástroj, který umožňuje sledovat stav webové aplikace zachycováním informací o požadavcích HTTP v pracovním procesu služby IIS;
  • Vlastní protokolování (Web-Custom-Logging) – Pomocí těchto nástrojů můžete nakonfigurovat protokolování aktivity webového serveru ve formátu, který se výrazně liší od standardního formátu IIS. Jinými slovy, můžete si vytvořit svůj vlastní logovací modul;
  • Nástroje pro protokolování (Web-Log-Libraries) jsou nástroje pro správu protokolů webového serveru a automatizaci úloh protokolování;
  • Trasování (Web-Http-Tracing) je nástroj pro diagnostiku a řešení porušení ve webových aplikacích.
• http Společné funkce (Web-Common-Http)– sada služeb, které poskytují základní funkčnost HTTP:
  • Výchozí dokument (Web-Default-Doc) – Tato funkce umožňuje nakonfigurovat webový server tak, aby vrátil výchozí dokument, když uživatelé neurčí konkrétní dokument v adrese URL požadavku, což uživatelům usnadňuje přístup k webu, například doména, bez určení souboru;
  • Procházení adresářů (Web-Dir-Browsing) – Tento nástroj lze použít ke konfiguraci webového serveru tak, aby uživatelé mohli zobrazit seznam všech adresářů a souborů na webu. Například pro případy, kdy uživatelé neurčí soubor v URL požadavku a výchozí dokumenty jsou buď zakázány, nebo nejsou nakonfigurovány;
  • http chyby (Web-Http-Errors) – tato funkce umožňuje konfigurovat chybové zprávy, které budou vráceny do webových prohlížečů uživatelů, když webový server zjistí chybu. Tento nástroj se používá ke snadnějšímu zobrazování chybových zpráv uživatelům;
  • Statický obsah (Web-Static-Content) – tento nástroj umožňuje používat obsah na webovém serveru ve formě statických formátů souborů, jako jsou soubory HTML nebo soubory obrázků;
  • http redirect (Web-Http-Redirect) - pomocí této funkce můžete přesměrovat požadavek uživatele na konkrétní cíl, tzn. toto je přesměrování;
  • Publikování WebDAV (Web-DAV-Publishing) - umožňuje používat technologii WebDAV na webovém serveru IIS. WebDAV ( Webové distribuované vytváření a verzování) je technologie, která uživatelům umožňuje spolupracovat ( číst, upravovat, číst vlastnosti, kopírovat, přesouvat) přes soubory na vzdálených webových serverech pomocí protokolu HTTP.
• Výkon (výkon webu)- sada služeb pro dosažení vyššího výkonu webového serveru prostřednictvím ukládání do mezipaměti výstupu a běžných kompresních mechanismů, jako jsou Gzip a Deflate:
  • Statická komprese obsahu (Web-Stat-Compression) je nástroj pro přizpůsobení komprese statického obsahu http, umožňuje efektivnější využití šířky pásma a přitom bez zbytečného zatížení CPU;
  • Dynamická komprese obsahu (Web-Dyn-Compression) je nástroj pro konfiguraci komprese dynamického obsahu HTTP. Tento nástroj poskytuje efektivnější využití šířky pásma, ale v tomto případě může zatížení CPU serveru spojené s dynamickou kompresí zpomalit web, pokud je zatížení CPU vysoké i bez komprese.
• Vývoj aplikací (Web-App-Dev)- soubor služeb a nástrojů pro vývoj a hostování webových aplikací, jinými slovy, technologie pro vývoj webových stránek:
  • ASP (Web-ASP) je prostředí pro podporu a vývoj webových stránek a webových aplikací využívajících technologii ASP. V současné době existuje novější a pokročilejší technologie pro vývoj webových stránek - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) je objektově orientované vývojové prostředí pro webové stránky a webové aplikace využívající technologii ASP.NET;
  • ASP.NET 4.6 (Web-Asp-Net45) je také objektově orientované vývojové prostředí pro webové stránky a webové aplikace využívající novou verzi ASP.NET;
  • CGI (Web-CGI) je schopnost používat CGI k předávání informací z webového serveru do externího programu. CGI je druh standardu rozhraní pro připojení externího programu k webovému serveru. Nevýhodou je, že použití CGI ovlivňuje výkon;
  • Server Side Inclusions (SSI) (Web-Includes) je podpora pro skriptovací jazyk SSI ( povolit na straně serveru), který se používá k dynamickému generování HTML stránek;
  • Inicializace aplikace (Web-AppInit) - tento nástroj provádí úkoly inicializace webových aplikací před odesláním webové stránky;
  • Protokol WebSocket (Web-WebSockets) – Přidává možnost vytvářet serverové aplikace, které komunikují pomocí protokolu WebSocket. WebSocket je protokol, který dokáže odesílat a přijímat data současně mezi prohlížečem a webovým serverem přes TCP spojení, jakési rozšíření protokolu HTTP;
  • Rozšíření ISAPI (Web-ISAPI-Ext) - podpora dynamického rozvoje webového obsahu pomocí aplikačního programovacího rozhraní ISAPI. ISAPI je rozhraní API pro webový server IIS. Aplikace ISAPI jsou mnohem rychlejší než soubory ASP nebo soubory, které volají součásti COM+;
  • Rozšiřitelnost .NET 3.5 (Web-Net-Ext) je funkce rozšiřitelnosti .NET 3.5, která vám umožňuje upravovat, přidávat a rozšiřovat funkčnost webového serveru v rámci procesu zpracování požadavků, konfigurace a uživatelského rozhraní;
  • Rozšiřitelnost .NET 4.6 (Web-Net-Ext45) je funkce rozšiřitelnosti .NET 4.6, která vám také umožňuje upravovat, přidávat a rozšiřovat funkčnost webového serveru v rámci celého kanálu zpracování požadavků, konfigurace a uživatelského rozhraní;
  • Filtry ISAPI (Web-ISAPI-Filter) – Přidejte podporu pro filtry ISAPI. Filtry ISAPI jsou programy, které jsou volány, když webový server obdrží konkrétní požadavek HTTP, který má být zpracován tímto filtrem.

FTP - server (Web-Ftp-Server)– služby, které poskytují podporu protokolu FTP. Podrobněji jsme o FTP serveru hovořili v materiálu - "Instalace a konfigurace FTP serveru na Windows Server 2016". Obsahuje následující služby:

• Služba FTP (Web-Ftp-Service) - přidává podporu protokolu FTP na webovém serveru;
• Rozšiřitelnost FTP (Web-Ftp-Ext) – rozšiřuje standardní možnosti FTP, jako je přidání podpory pro funkce, jako jsou vlastní poskytovatelé, uživatelé ASP.NET nebo uživatelé správce IIS.

Nástroje pro správu (Web-Mgmt-Tools) jsou nástroje pro správu webového serveru IIS 10. Patří mezi ně: uživatelské rozhraní služby IIS, nástroje příkazového řádku a skripty.

• IIS Management Console (Web-Mgmt-Console) je uživatelské rozhraní pro správu IIS;
• Znakové sady a nástroje pro správu IIS (Web-Scripting-Tools) jsou nástroje a skripty pro správu IIS pomocí příkazového řádku nebo skriptů. Lze je použít například k automatizaci řízení;
• Služba správy (Web-Mgmt-Service) – tato služba přidává možnost vzdálené správy webového serveru z jiného počítače pomocí Správce IIS;
• Správa kompatibility služby IIS 6 (Web-Mgmt-Compat) – Poskytuje kompatibilitu pro aplikace a skripty, které používají dvě rozhraní API služby IIS. Stávající skripty IIS 6 lze použít ke správě webového serveru IIS 10:
  • IIS 6 Compatibility Metabase (Web-Metabase) je nástroj pro kompatibilitu, který umožňuje spouštět aplikace a znakové sady, které byly migrovány z dřívějších verzí IIS;
  • Skriptovací nástroje IIS 6 (Web-Lgcy-Scripting) – Tyto nástroje umožňují používat stejné skriptovací služby IIS 6, které byly vytvořeny pro správu IIS 6 ve službě IIS 10;
  • IIS 6 Management Console (Web-Lgcy-Mgmt-Console) je nástroj pro správu vzdálených serverů IIS 6.0;
  • IIS 6 WMI Compatibility (Web-WMI) jsou skriptovací rozhraní Windows Management Instrumentation (WMI) pro programové řízení a automatizaci úloh webového serveru IIS 10.0 pomocí sady skriptů vytvořených u poskytovatele WMI.

Active Directory Domain Services

Role" Active Directory Domain Services» (AD DS) poskytuje distribuovanou databázi, která ukládá a zpracovává informace o síťových zdrojích. Tato role se používá k uspořádání síťových prvků, jako jsou uživatelé, počítače a další zařízení, do hierarchické zadržovací struktury. Hierarchická struktura zahrnuje doménové struktury, domény v rámci doménové struktury a organizační jednotky (OU) v rámci každé domény. Server se službou AD DS se nazývá řadič domény.

Název role pro Windows PowerShell je AD-Domain-Services.

Režim Windows Server Essentials

Tato role je počítačová infrastruktura a poskytuje pohodlné a efektivní funkce, například: ukládání klientských dat na centralizovaném místě a ochranu těchto dat zálohováním serverových a klientských počítačů, vzdálený webový přístup, který umožňuje přístup k datům prakticky z jakéhokoli zařízení . Tato role vyžaduje několik služeb a funkcí rolí, například: Funkce BranchCache, Zálohování serveru Windows, Správa zásad skupiny, Služba rolí " Jmenné prostory DFS».

Název pro PowerShell je ServerEssentialsRole.

Síťový ovladač

Tato role zavedená v systému Windows Server 2016 poskytuje jediný bod automatizace pro správu, monitorování a diagnostiku fyzické a virtuální síťové infrastruktury v datovém centru. Pomocí této role můžete z jednoho místa konfigurovat IP podsítě, VLAN, fyzické síťové adaptéry hostitelů Hyper-V, spravovat virtuální přepínače, fyzické routery, nastavení firewallu a VPN brány.

Název prostředí Windows PowerShell je NetworkController.

Služba Node Guardian

Toto je role serveru Hosted Guardian Service (HGS) a poskytuje služby atestace a ochrany klíčů, které umožňují chráněným hostitelům spouštět stíněné virtuální stroje. Pro fungování této role je vyžadováno několik dalších rolí a komponent, například: Active Directory Domain Services, Web Server (IIS), Clusterování při selhání" a další.

Název pro PowerShell je HostGuardianServiceRole.

Active Directory Lightweight Directory Services

Role" Active Directory Lightweight Directory Services» (AD LDS) je odlehčená verze služby AD DS, která má méně funkcí, ale nevyžaduje nasazení domén nebo řadičů domény a nemá závislosti a omezení domény vyžadované službou AD DS. Služba AD LDS běží přes protokol LDAP ( Lightweight Directory Access Protocol). Můžete nasadit více instancí služby AD LDS na stejný server s nezávisle spravovanými schématy.

Název pro PowerShell je ADLDS.

Služby MultiPoint

Je to také nová role, která je nová ve Windows Server 2016. MultiPoint Services (MPS) poskytuje základní funkce vzdálené plochy, která umožňuje více uživatelům pracovat současně a nezávisle na stejném počítači. Chcete-li nainstalovat a provozovat tuto roli, musíte nainstalovat několik dalších služeb a komponent, například: Print Server, Windows Search Service, XPS Viewer a další, které budou všechny automaticky vybrány během instalace MPS.

Název role pro PowerShell je MultiPointServerRole.

Windows Server Update Services

S touto rolí (WSUS) mohou správci systému spravovat aktualizace společnosti Microsoft. Můžete například vytvořit samostatné skupiny počítačů pro různé sady aktualizací a také přijímat zprávy o souladu počítačů s požadavky a aktualizacemi, které je třeba nainstalovat. Pro fungování" Windows Server Update Services» Potřebujete takové služby rolí a komponenty jako: Webový server (IIS), interní databáze Windows, služba aktivace procesů Windows.

Název prostředí Windows PowerShell je UpdateServices.

• Připojení WID (UpdateServices-WidDB) – nastavte na WID ( Interní databáze Windows) databáze používaná službou WSUS. Jinými slovy, WSUS bude ukládat svá servisní data do WID;
• Služby WSUS (UpdateServices-Services) jsou služby role WSUS, jako je aktualizační služba, webová služba pro vytváření sestav, webová služba API Remoting, webová služba klienta, webová služba jednoduchého ověřování webu, služba synchronizace serveru a webová služba ověřování DSS;
• SQL Server Connectivity (UpdateServices-DB) je instalace součásti, která umožňuje službě WSUS připojit se k databázi Microsoft SQL Server. Tato možnost umožňuje ukládání servisních dat v databázi Microsoft SQL Server. V tomto případě již musíte mít nainstalovanou alespoň jednu instanci SQL Server.

Multilicenční aktivační služby

S touto rolí serveru můžete automatizovat a zjednodušit vydávání multilicence pro software od společnosti Microsoft a také vám umožňuje tyto licence spravovat.

Název pro PowerShell je VolumeActivation.

Tiskové a dokumentové služby

Tato role serveru je navržena pro sdílení tiskáren a skenerů v síti, pro centrální konfiguraci a správu tiskových a skenovacích serverů a pro správu síťových tiskáren a skenerů. Služby tisku a dokumentů také umožňují odesílat naskenované dokumenty e-mailem, do sdílených síťových složek nebo na weby služby Windows SharePoint Services.

Název pro PowerShell je Print-Services.

• Tiskový server (tiskový server) – Tato služba role zahrnuje „ Správa tisku“, který se používá ke správě tiskáren nebo tiskových serverů a také k migraci tiskáren a dalších tiskových serverů;
• Tisk přes internet (Print-Internet) – Pro implementaci tisku přes internet je vytvořena webová stránka, která uživatelům umožňuje spravovat tiskové úlohy na serveru. Aby tato služba fungovala, jak víte, musíte nainstalovat " webový server (IIS)". Všechny požadované součásti budou vybrány automaticky, když zaškrtnete toto políčko během procesu instalace služby role " Internetový tisk»;
• Distribuovaný skenovací server (Print-Scan-Server) je služba, která umožňuje přijímat naskenované dokumenty ze síťových skenerů a odesílat je na místo určení. Tato služba také obsahuje „ Správa skenování“, který se používá ke správě síťových skenerů a ke konfiguraci skenování;
• Služba LPD (Print-LPD-Service) – služba LPD ( Démon řádkové tiskárny) umožňuje počítačům se systémem UNIX a dalším počítačům využívajícím službu Line Printer Remote (LPR) tisknout na sdílené tiskárny serveru.

Síťová politika a přístupové služby

Role" » (NPAS) umožňuje serveru NPS (Network Policy Server) nastavit a vynutit přístup k síti, autentizaci a autorizaci a zásady stavu klienta, jinými slovy zabezpečit síť.

Název prostředí Windows PowerShell je NPAS.

Windows Deployment Services

Pomocí této role můžete vzdáleně instalovat operační systém Windows přes síť.

Název role pro PowerShell je WDS.

• Deployment Server (WDS-Deployment) – tato služba role je určena pro vzdálené nasazení a konfiguraci operačních systémů Windows. Umožňuje také vytvářet a upravovat obrázky pro opětovné použití;
• Transport Server (WDS-Transport) – Tato služba obsahuje základní síťové komponenty, pomocí kterých můžete přenášet data multicastingem na samostatném serveru.

Certifikační služba Active Directory

Tato role je určena k vytváření certifikačních autorit a souvisejících služeb rolí, které vám umožňují vydávat a spravovat certifikáty pro různé aplikace.

Název pro Windows PowerShell je AD-Certificate.

Zahrnuje následující služby rolí:

• Certifikační autorita (ADCS-Cert-Authority) – pomocí této služby role můžete vydávat certifikáty uživatelům, počítačům a službám a také spravovat platnost certifikátu;
• Webová služba Zásady zápisu certifikátu (ADCS-Enroll-Web-Pol) – Tato služba umožňuje uživatelům a počítačům získat informace o zásadách zápisu certifikátů z webového prohlížeče, i když počítač není členem domény. Pro jeho fungování je to nutné webový server (IIS)»;
• Certifikát Enrollment Web Service (ADCS-Enroll-Web-Svc) – Tato služba umožňuje uživatelům a počítačům registrovat a obnovovat certifikáty pomocí webového prohlížeče přes HTTPS, i když počítač není členem domény. Musí také fungovat webový server (IIS)»;
• Online respondér (ADCS-Online-Cert) - Služba je určena pro kontrolu zneplatnění certifikátu pro klienty. Jinými slovy, přijme žádost o stav odvolání pro konkrétní certifikáty, vyhodnotí stav těchto certifikátů a odešle zpět podepsanou odpověď s informacemi o stavu. Aby služba fungovala, je to nutné webový server (IIS)»;
• Služba webového zápisu certifikační autority (ADCS-Web-Enrollment) – Tato služba poskytuje uživatelům webové rozhraní k provádění úkolů, jako je vyžadování a obnova certifikátů, získávání CRL a registrace certifikátů čipových karet. Aby služba fungovala, je to nutné webový server (IIS)»;
• Služba Network Device Enrollment (ADCS-Device-Enrollment) – Pomocí této služby můžete vydávat a spravovat certifikáty pro směrovače a další síťová zařízení, která nemají síťové účty. Aby služba fungovala, je to nutné webový server (IIS)».

Služby vzdálené plochy

Role serveru, kterou lze použít k poskytování přístupu k virtuálním plochám, plochám založeným na relacích a aplikacím RemoteApp.

Název role pro Windows PowerShell je Remote-Desktop-Services.

Skládá se z následujících služeb:

• Webový přístup ke vzdálené ploše (RDS-Web-Access) – Tato služba role umožňuje uživatelům přistupovat ke vzdáleným plochám a aplikacím RemoteApp prostřednictvím „ Start» nebo pomocí webového prohlížeče;
• Licencování vzdálené plochy (RDS-Licensing) – Služba je navržena ke správě licencí, které jsou nutné pro připojení k serveru Hostitel relací vzdálené plochy nebo virtuální ploše. Lze jej použít k instalaci, vydávání licencí a sledování jejich dostupnosti. Tato služba vyžaduje " webový server (IIS)»;
• Zprostředkovatel připojení ke vzdálené ploše (RDS-Connection-Broker) je služba role, která poskytuje následující možnosti: opětovné připojení uživatele ke stávající virtuální ploše, aplikaci RemoteApp a ploše založené na relaci a také vyrovnávání zátěže mezi servery vzdálených hostitelských serverů. nebo mezi sdruženými virtuálními desktopy. Tato služba vyžaduje „ »;
• Hostitel virtualizace vzdálené plochy (DS-Virtualization) – Služba umožňuje uživatelům připojit se k virtuálním plochám pomocí RemoteApp and Desktop Connection. Tato služba funguje ve spojení s Hyper-V, tzn. tato role musí být nainstalována;
• Hostitel relací vzdálené plochy (RDS-RD-Server) – Tato služba může hostovat aplikace RemoteApp a plochy založené na relacích na serveru. Přístup je prostřednictvím klienta Připojení ke vzdálené ploše nebo RemoteApps;
• Brána vzdálené plochy (RDS-Gateway) – Služba umožňuje autorizovaným vzdáleným uživatelům připojit se k virtuálním plochám, aplikacím RemoteApp a plochám založeným na relacích v podnikové síti nebo přes Internet. Tato služba vyžaduje následující doplňkové služby a součásti: webový server (IIS)», « Síťová politika a přístupové služby», « RPC přes HTTP proxy».

AD RMS

Toto je role serveru, která vám umožní chránit informace před neoprávněným použitím. Ověřuje totožnost uživatelů a uděluje licence oprávněným uživatelům pro přístup k chráněným datům. Tato role vyžaduje další služby a komponenty: webový server (IIS)», « Služba aktivace procesů systému Windows», « Funkce rozhraní .NET Framework 4.6».

Název prostředí Windows PowerShell je ADRMS.

• Active Directory Rights Management Server (ADRMS-Server) – služba hlavní role, nutná pro instalaci;
• Podpora federace identit (ADRMS-Identity) je volitelná služba rolí, která umožňuje federovaným identitám využívat chráněný obsah pomocí služby Active Directory Federation Services.

AD FS

Tato role poskytuje webům pomocí prohlížeče zjednodušenou a zabezpečenou federaci identit a funkci jednotného přihlašování (SSO).

Název pro PowerShell je ADFS-Federation.

Vzdálený přístup

Tato role poskytuje konektivitu prostřednictvím DirectAccess, VPN a proxy webové aplikace. Také role Vzdálený přístup"poskytuje tradiční možnosti směrování, včetně překladu síťových adres (NAT) a dalších možností připojení. Tato role vyžaduje další služby a funkce: webový server (IIS)», « Interní databáze Windows».

Název role pro Windows PowerShell je RemoteAccess.

• DirectAccess a VPN (RAS) (DirectAccess-VPN) - služba umožňuje uživatelům kdykoli se připojit k podnikové síti s přístupem k internetu prostřednictvím DirectAccess a také organizovat připojení VPN v kombinaci s technologiemi tunelování a šifrování dat;
• Směrování (Routing) - služba poskytuje podporu pro NAT routery, LAN routery s protokoly BGP, RIP a routery s podporou multicastu (IGMP proxy);
• Web Application Proxy (Web-Application-Proxy) - Služba umožňuje publikovat aplikace založené na protokolech HTTP a HTTPS z podnikové sítě na klientská zařízení, která jsou mimo podnikovou síť.

Souborové a úložné služby

Toto je role serveru, kterou lze použít ke sdílení souborů a složek, správě a řízení sdílených složek, replikaci souborů, poskytování rychlého vyhledávání souborů a udělování přístupu ke klientským počítačům UNIX. Souborovým službám a zejména souborovému serveru jsme se podrobněji věnovali v materiálu „Instalace souborového serveru (File Server) na Windows Server 2016“.

Název prostředí Windows PowerShell je FileAndStorage-Services.

Skladovací služby- Tato služba poskytuje funkci správy úložiště, která je vždy nainstalována a nelze ji odebrat.

Souborové služby a služby iSCSI (souborové služby) jsou technologie, které zjednodušují správu souborových serverů a úložišť, šetří místo na disku, umožňují replikaci a ukládání souborů do mezipaměti v pobočkách a také umožňují sdílení souborů prostřednictvím protokolu NFS. Zahrnuje následující služby rolí:

• Souborový server (FS-FileServer) – služba role, která spravuje sdílené složky a poskytuje uživatelům přístup k souborům na tomto počítači přes síť;
• Deduplikace dat (FS-Data-Deduplication) – tato služba šetří místo na disku tím, že na svazek ukládá pouze jednu kopii identických dat;
• Správce prostředků souborového serveru (FS-Resource-Manager) – pomocí této služby můžete spravovat soubory a složky na souborovém serveru, vytvářet sestavy úložiště, klasifikovat soubory a složky, konfigurovat kvóty složek a definovat zásady blokování souborů;
• iSCSI Target Storage Provider (VDS a poskytovatelé hardwaru VSS) (iSCSITarget-VSS-VDS) – Služba umožňuje aplikacím na serveru připojeném k cíli iSCSI využívat svazky stínových kopií na virtuálních discích iSCSI;
• Jmenné prostory DFS (FS-DFS-Namespace) - pomocí této služby můžete seskupit sdílené složky hostované na různých serverech do jednoho nebo více logicky strukturovaných jmenných prostorů;
• Pracovní složky (FS-SyncShareService) – služba umožňuje používat pracovní soubory na různých počítačích, včetně pracovních a osobních. Soubory můžete ukládat do pracovních složek, synchronizovat je a přistupovat k nim z místní sítě nebo internetu. Aby služba fungovala, komponenta " IIS In-Process Web Core»;
• Replikace distribuovaného systému souborů (FS-DFS-Replication) je modul replikace dat na více serverech, který umožňuje synchronizovat složky přes připojení LAN nebo WAN. Tato technologie používá protokol Remote Differential Compression (RDC) k aktualizaci pouze části souborů, které se od poslední replikace změnily. Replikaci DFS lze použít s obory názvů DFS nebo bez nich;
• Server pro NFS (FS-NFS-Service) – Služba umožňuje tomuto počítači sdílet soubory s počítači se systémem UNIX a dalšími počítači, které používají protokol NFS (Network File System);
• iSCSI Target Server (FS-iSCSITarget-Server) – poskytuje služby a správu pro cíle iSCSI;
• Služba BranchCache pro síťové soubory (FS-BranchCache) – Služba poskytuje podporu BranchCache na tomto souborovém serveru;
• Služba File Server VSS Agent (FS-VSS-Agent) – Služba umožňuje stínové kopie svazku pro aplikace, které ukládají datové soubory na tento souborový server.

faxový server

Role odesílá a přijímá faxy a umožňuje vám spravovat faxové zdroje, jako jsou úlohy, nastavení, sestavy a faxová zařízení v tomto počítači nebo v síti. Požadováno pro práci Tiskový server».

Název role pro Windows PowerShell je Fax.

Tímto je přehled rolí serveru Windows Server 2016 dokončen, doufám, že pro vás byl materiál prozatím užitečný!